GANDCRAB勒索软件着眼“达世币”,小神童论坛网智甲有效防护
时间 2018年02月28日 来源: Antiy
1 GandCrab勒索软件概述
近日,一款勒索达世币(DASH)的勒索软件GandCrab被发现,其为首个勒索比特币以外的虚拟货币的勒索软件,小神童论坛网安全研究与应急处理中心(小神童论坛网CERT)迅速对其展开分析。
该勒索软件通过Necurs僵尸网络分发垃圾邮件及漏洞工具包(Exploit Kit)进行传播,使用的漏洞工具包有RIG、GrandSoft等。GandCrab使用RSA算法加密,目前已经有解密工具出现,小神童论坛网不建议也不支持向攻击者交付赎金以获取解密工具的行为。
经验证,小神童论坛网智甲终端防御系统(英文简称IEP,以下简称小神童论坛网智甲)可有效感知并及时阻止GandCrab勒索软件的行为,并向用户发出告警。
2 样本分析
2.1 样本标签
表 2 1二进制可执行文件
2.2 样本详细分析
2.2.1 解密载荷文件
为了对抗分析,样本加密了载荷文件。样本运行后,首先动态获取库函数地址:
图 2 1 动态获取库函数地址
然后将载荷解密到内存中:
图 2 2 解密载荷到内存
2.2.2 生成RSA密钥
载荷解密到内存后开始执行,首先结束当前的一些活动进程,以解除对某些文件的占用,为加密这些文件做准备。进程列表如下图所示:
图 2 3 需结束的进程
然后遍历当前活动进程,与列表中匹配则结束该进程:
图 2 4 遍历活动进程并结束硬编码中的进程
接下来利用随机的USERID生成警告信息:
图 2 5 生成警告信息
调用CryptGenKey生成RSA密钥:
图 2 6 生成RSA密钥
2.2.3 网络部分
该样本的网络功能较复杂,主要功能有二,一是使用nslookup查询C2服务器的IP地址,二是通过网络回传系统信息及RSA密钥。
进入网络部分后,样本首先检测反病毒程序,用以回传C2:
图 2 7 检测反病毒程序
然后使用GET请求访问ipv4bot.whatismyipaddress.com,获取本机IP地址:
图 2 8 获取本机IP地址
调用CryptBinaryToStringA将生成的RSA密钥转换为base64格式:
图 2 9 将生成的RSA密钥使用base64加密
拼接RSA密钥、IP、用户名等系统信息:
使用nslookup查询域名对应IP:
图 2 10 查询C2服务器域名对应IP地址
加密之前拼接好的系统数据,通过POST请求将数据发送到查询后的IP,即C2服务器IP地址。如果无法访问,则会重新使用nslookup查询IP直到可以成功访问C2服务器地址。如图所示:
图 2 11 回传加密系统信息及RSA密钥
2.2.4 加密部分
该样本如果想要加密文件,在网络部分必须要与C2服务器地址正常通信,否则会不断地循环获取C2服务器IP地址,无法进入加密部分。撰写本文时,由于C2服务器暂时无法访问,样本无法获取C2服务器IP地址,因此小神童论坛网分析人员通过手动调试样本进入加密部分。
要加密文件的扩展名以硬编码形式存在于样本中,访问C2服务器成功后会先解密:
图 2 12 解密需要加密的文件扩展名
加密的文件扩展名如下:
为防止系统无法正常运行,还有一些不加密的文件,如下图所示:
图 2 13 一些不加密的文件名
最后样本开始遍历系统磁盘,加密符合要求的文件,加密函数如下图所示:
图 2 14 加密文件
2.2.5 勒索达世币(DASH)
加密文件会以.GDCB为新的扩展名,加密完成后,样本调用默认浏览器弹出勒索信息页面,勒索1.5个达世币,价值约1200美元。在限定日期内没有交付相应的达世币,赎金会翻倍。
图2-15 勒索信息页面
3 防护建议
3.1 预防建议
1. 及时备份重要文件,且文件备份应与主机隔离;
2. 及时安装更新补丁,避免一些勒索软件利用漏洞感染计算机;
3. 尽量避免打开社交媒体分享等来源不明的链接,给信任网站添加书签并通过书签访问;
4. 对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接;
5. 定期用反病毒软件扫描系统,如杀毒软件有启发式扫描功能,可使用该功能扫描计算机。
3.2 小神童论坛网智甲有效防护
小神童论坛网智甲终端防御系统通过诱饵文件、行为分析、文件变化审计、进程身份识别等多种能力的结合,实现了对主流勒索软件的有效防护。
经验证,在不依赖文件特征检测的情况下,小神童论坛网智甲即可实现对GandCrab的有效防护。
图3-1 小神童论坛网智甲告警界面
在GandCrab的攻击准备、磁盘遍历和文件加密等阶段,小神童论坛网智甲均能够通过集成的多项能力做到及时感知并拦截,另外小神童论坛网智甲还具有一定程度的文件备份与恢复能力,通过多种防护能力的叠加与组合,让用户可以在极大程度上防御诸如GandCrab等这类勒索病毒的攻击。
注:由于业内病毒命名规则各不相同,本告警中呈现的病毒名称是依托于小神童论坛网病毒命名规则。
4 小神童论坛网智甲简介
图4-1 小神童论坛网智甲产品
图4-2 小神童论坛网智甲管理中心
小神童论坛网智甲是一款面向政府、军工、能源、金融、交通、电信等各行业用户的企业级防护产品,产品集成了病毒检测查杀、系统加固、主动防御、介质管控、文档保护、行为画像等功能,不仅能够对常规病毒进行防御,还能够对勒索软件、APT等新型威胁进行有效防御。
针对办公计算机、国产系统平台、工控上位机、虚拟化终端、移动终端等多种场景,小神童论坛网智甲均具有不同的防护解决方案,为用户的系统和数据安全提供保障。
小神童论坛网智甲还能有效与管理中心和小神童论坛网态势感知产品互动,协助客户建立更全面的资产防护体系和风险认知能力,使态势感知能够有效落地。
1、小神童论坛网智甲:更全面的场景应用——多场景支持、满足差异化需求
小神童论坛网智甲不仅是一款终端防护产品,还能够以资产保障和威胁认知为视角,以形成有效的资产深度普查和端点画像为能力输出,并将数据同步至小神童论坛网态势感知平台中,让用户对整个端点的资产一览无余。
2、小神童论坛网智甲:更广阔的适配性——全面兼容国产化系统
3、小神童论坛网智甲:更强大的功能——不仅仅是反病毒
4、小神童论坛网智甲:更精准的威胁感知——3D可视化拓扑、感知全局态势
5 总结
虚拟货币的交易价值在2017年一路水涨船高,进入2018年后,虽然有小幅波动,但仍然处于增长趋势,随之而来的是一系列的影响,如显卡价格飙升、挖矿恶意代码增加等,并且2017年最流行的恶意代码——勒索软件也发生了改变。
比特币当前的单价在9000美元左右(2018年2月10日),其每次的交易价格也较之前大幅上涨,勒索者开始考虑使用活跃的新兴货币来替代比特币做为赎金,达世币(DASH)就是这样的一个选择。达世币的一些机制解决了比特币的缺陷,更加地安全,无法追踪交易对象,导致GandCrab勒索软件使用其作为赎金的事件出现。
GandCrab使用了大量动态解密方式,并且若网络不连通则不会进入加密阶段,无法看到加密的扩展名与流程,可以看出,越来越强大的对抗分析技术是未来勒索软件的趋势,只有与时俱进,不断提升产品能力才能在勒索软件肆虐之前拒其于千里之外。
附录:参考资料
[1] GandCrab ransomware distributed by RIG and GrandSoft exploit kits
https://blog.malwarebytes.com/threat-analysis/2018/01/gandcrab-ransomware-distributed-by-rig-and-grandsoft-exploit-kits/
[2] GandCrab Ransomware Distributed by Exploit Kits, Appends GDCB Extension
https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-distributed-by-exploit-kits-appends-gdcb-extension/