警惕!GandCrab V 5.2正在利用恐嚇主題釣魚郵件進行傳播
前言
近期,360威脅情報中心捕獲到一起針對中文使用者的釣魚郵件。該郵件帶有一個壓縮包,經分析發現,該壓縮包內為最新的GandCrab 5.2勒索軟體。基於該線索,360威脅情報中心對GandCrab勒索軟體最新變種的IOC,攻擊技術和傳播方式進行分析彙總,並提出了一些解決方案,以供讀者參考。
攻擊分析
本次攻擊的郵件內容如下所示
郵件標題為“你必須在3月11日下午3點向警察局報到!”
發件人郵箱為: [email protected]
發件人名稱:Min, Gap Ryong
可見內容存在大量亂碼字樣,內容大致為請來警局參與調查,並附上了相關內容。
通過解壓03-11-19.rar 後,可見其內含有一個偽裝成word圖片的,帶中文亂碼的exe檔案。
“你 須瞍3昱11祉 珥3錈 添筇涎報羽”
執行惡意軟體後,可見桌面被替換並顯示GandCrab 5.2的相關勒索資訊
勒索資訊文字,其中文字名稱和字尾均為隨機生成,勒索資訊文字為固定格式XXXXXXX-MANUAL.txt
其中Tor 節點如下:
http://gandcrabmfe6mnef.onion/e49217da629e6a2d
樣本分析
惡意程式碼的入口處會先通過CreateToolHelp32Snapshot建立程序快照,然後呼叫Module32First判斷返回值:
返回值等於0的話會進入fun_ExecMain函式後會執行後續的惡意程式碼,在之前會填充很多垃圾指令 ,為了免殺:
會解密檔案中包含的2塊資料,複製到新申請的可執行的記憶體空間,解密後的資料是shellcode,直接執行起來:
解密後的2塊資料合併成一個完整的shellcode,如圖為解密後的資料的彙編程式碼:
Shellcode的功能主要是解密出勒索的主體PE並在記憶體中載入起來:
Dump出解密出的PE的資訊如下:
MD5:
b961adffea4c6cf915e1f04ddea6408e
編譯時間:
2019-02-24 00:51:29
字串資訊:
字串用的RC4演算法,所有的字串都用了RC4演算法:
傳進去的資料結構為:
0-0x10位元組:RC4金鑰
Len = Dword(0x10-0x14)^dword(0x15-0x18):後面資料的長度
0x18- Len:待解密的資料
例如下面的資料:
75 31 45 89 2A 27 CA 9B D3 65 BE CF D2 94 50 1E //RC4金鑰
42 4C 17 1B //長度的異或前值 A
52 4C 17 1B //長度的異或後值 B A異或B = 0x10 就是後面資料的長度
FC E3 01 54 2D D6 08 5A 67 43 6C A9 88 49 53 90 //資料
解密的資料如下:
以下為勒索成功後的截圖:
傳播方式
目前已知的傳播方式如下:
1、定向魚叉攻擊郵件投放
2、垃圾郵件批量投放傳播
3、網頁掛馬攻擊
4、利用CVE-2019-7238(Nexus Repository Manager 3遠端程式碼執行漏洞)進行傳播
5、利用weblogic漏洞進行傳播
6、利用自動化機制病毒進行傳播( https://mp.weixin.qq.com/s/R-Ok96U5Jb2aaybUfsQtDQ )
傳播方式包括:
a)通過RDP、VNC等途徑進行爆破併入侵
b)利用U 盤、行動硬碟等移動介質進行傳播
c)捆綁、隱藏在一些破解、啟用、遊戲工具中進行傳播
d)感染 Web/FTP 伺服器目錄並進行傳播
主要傳播埠為: 445、135、139 、3389、5900 等埠
解決方案
請持續關注國內外廠商對Gandcrab 5.2的解密情況
Gandcrab 5.1之前版本的解密工具:
http://lesuobingdu.360.cn
防護建議
1、儘量關閉不必要的埠,如 445、135、139 等,對 3389、5900 等埠可進行白名單配置,只允許白名單內的 IP 連線登陸。
2、採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼。
3、安裝 360 天擎新一代終端安全管理系統。
4、及時更新軟體,安裝補丁。
總結
由於Gandcrab 5.2版本會通過垃圾電子郵件分發,因此我們建議您不要開啟任何未知來源的電子郵件,尤其是不要開啟附件。即使附件來自常用聯絡人,我們也建議您在開啟之前,使用360天擎對其進行掃描,以確保它不包含任何惡意文件或檔案。
360威脅情報中心最後再次提醒各企業使用者,加強員工的安全意識培訓是企業資訊保安建設中最重要的一環,如有需要,企業使用者可以建設態勢感知,完善資產管理及持續監控能力,並積極引入威脅情報,以儘可能防禦此類攻擊。
目前,基於360威脅情報中心的威脅情報資料的全線產品,包括360威脅情報平臺(TIP)、天眼高階威脅檢測系統、360 NGSOC等,都已經支援對Gandcrab 5.2的檢測。
IOCs
下面為近期Gandcrab 5.2 的IOC資訊,以供參考。
d5ad7b954eace2f26a37c5b9faaf0e53
445dd888ed51e331fdcf2fa89199cca6
9b1305f5a007bbcf285728d708b244bd
0fa03c293462822f60a3ebb1a156e01c
a092fd3cf6da1885ff348b3c6d1fd922
e17a131aa1ea229a176459547c7e7a3f
f2b4239309bc461e844091814ce3cb9c
f6fffc29f5ec5e8e94e130739fad8da1
ad18697ef19bb91a98e5778555fb41c5
5363d5f1769bc5cfdd9484c9025beb1b
c7b236f53ad4360c6934c263fe882f5e
1aafc253fa9fe127f695e609c44c4db8
fa507fd54405ca99625d0afdb18a7aff
fa720701a8c8b07908202e382782ab7a
ac6df351b6516f22aec3d59caa0c5d6a
608a8be96683d0bc308a1abdb18844c3
6937f4e49a1f57b0e0f223a71235d66e
b2e8b64ff69edda0db78987048a686e2
e376c7ab4f38eb1c1ed151d9530f1243
8d690776b198c1b65ec038d1a31a77b4
23f14288b9744bb32040d533b7198b93
傳播惡意軟體的下載連結
http://104.248.43.245/audi.exe
http://101.96.10.37/92.63.197.153/work/1.exe
http://159.89.142.248/wow.exe
Tor節點
http://gandcrabmfe6mnef.onion/e49217da629e6a2d