GandCrab傳播新動向——五毒俱全的蠕蟲病毒技術分析V1.1
概述
近日,360終端安全實驗室監控到GandCrab勒索病毒有了新動向,和以往相比本次GandCrab傳播量有了明顯的波動,我們分析了背後原因,發現此次波動是由一種近年較常見的蠕蟲病毒引起的,該蠕蟲病毒主要通過U盤和壓縮檔案傳播,一直活躍在包括區域網在內的眾多終端上。該蠕蟲病毒構成的殭屍網路,過去主要傳播遠控、竊密、挖礦等木馬病毒,而現在開始投遞GandCrab勒索病毒。由於該病毒感染主機眾多,影響較廣,因而造成了這次GandCrab的傳播波動。在此特提醒大家注意保護好您的資料,當心被勒索病毒襲擊從而遭受不可挽回的損失。
我們對該蠕蟲病毒的最新變種進行了深入分析。病毒的母體和以往相比沒有太大變化,其主要特別之處在於其投遞的病毒種類有了新變化,除了新增投遞GandCrab勒索病毒外,還發現該病毒的初次投放方式,也即病毒製作者是怎麼投放病毒的。一般病毒的初次投放方式包括掛馬、捆綁下載、郵件附件、租用殭屍網路、漏洞利用等,而這次該病毒使用了郵件附件作為其初次投放傳播的手段之一。
下面首先就其主要技術特點概括如下:
- 病毒程式碼具有風格統一的混淆方式,通過記憶體解密PE並載入執行來繞過殺軟的靜態掃描查殺,病毒的母體具有一定反沙箱反分析能力;
- 具備多種傳播方式,包括投遞惡意郵件、感染Web/FTP伺服器目錄、U盤/網路磁碟傳播、感染壓縮檔案等;
- 竊取多種虛擬貨幣錢包,包括:Exodus、JAXX、MultiBit HD、Monero、Electrum、Electrum-LTC、BitcoinCore等多種貨幣錢包;
- 通過劫持Windows剪貼簿,替換多種主流虛擬貨幣錢包地址,包括:BTC、ETH、LTC、XMR、XRP、ZEC、DASH、DOGE等幣種;
- 竊取郵箱賬號、Web網站登入賬號、WinSCP憑據、Steam遊戲平臺賬號、以及多種即時通訊軟體聊天記錄;
- 下載傳播多種病毒,包括勒索、竊密、挖礦、母體傳播模組等,其母體內嵌的下載連結主要固定為5種,正好印證了“五毒俱全”的特點;
病毒攻擊流程
病毒詳細分析
母體DownLoader分析
探測虛擬機器/沙箱執行環境
病毒母體是一個DownLoader,執行時通過遍歷程序以及檢查載入的模組來探測執行環境是否是虛擬機器或沙箱環境,其中特別針對python程序進行了檢查(沙箱常用),還通過檢查載入的DLL模組來檢測sandboxie或sysanalyzer:
持久化設定
病毒會將自身拷貝至windows\自建目錄\winsvcs32.exe,並建立登錄檔開機啟動項實現持久化執行:
拷貝並重命名為winsvc32.exe
建立登錄檔開機啟動項
刪除自身的Zone.Identifier NTFS Stream避免執行時出現風險提示
新增防火牆例外以及關閉Windows Defender實時防護等功能
防火牆以及Windows Defender相關設定
通過可移動磁碟/網路磁碟進行AUTORUN傳播
針對網路磁碟以及可移動磁碟
在U盤根目錄建立”_”目錄以及將自身拷貝並重命名為DeviceManager.exe
建立指向病毒母體的lnk檔案
Lnk檔案內容
被感染後的U盤以及AutoRun.inf截圖
通過感染壓縮包進行傳播
判斷%appdata%\winsvcs.txt是否存在,不存在則建立該檔案,該檔案起到一個開關作用,用來判斷是否對壓縮檔案進行感染:
將自身拷貝至%TEMP%目錄,並重命名為“Windows Archive Manager.exe”:
遍歷本地磁碟中的壓縮檔案,將病毒本體新增到壓縮檔案,受感染的壓縮型別包括zip、rar、7z、tar:
這部分程式碼功能還不太完善,經過測試,壓縮格式只支援zip、rar,7z和tar格式的支援有Bug,感染後會破壞原有格式:
替換FTP/WEB伺服器目錄下的EXE檔案進行傳播
遍歷磁碟檔案,判斷EXE檔案所在路徑是否包含如下FTP/WEB伺服器目錄:
如果滿足條件,則把目錄下的EXE檔案替換成病毒自身檔案:
監控系統剪貼簿,劫持替換虛擬貨幣錢包地址
監控剪貼簿,如果發現有預期的虛擬貨幣錢包地址,則進行替換,影響的幣種包括:
Btc、eth、ltc、xmr、xrp、zec、dash、doge等。
判斷各類貨幣錢包地址特徵
劫持監控剪貼簿
通過內建C2下載多個惡意模組
母體內嵌了3個C2伺服器以及多個混淆的DNS備用地址用於下載傳播其他病毒程式(這些DNS暫時無效,但如果前面3個IP被封或失效,可通過啟用這些備用DNS來達到切換C2的目的):
將下列5個檔名與上述ULR連結拼接成完整下載連結:
此處5個惡意連結用來下載傳播其他病毒,可謂“五毒俱全”。
下載的多個惡意模組儲存在%TEMP%目錄下並隨機命名,然後刪除對應的Zone.Identifier避免執行時出現風險提示:
下載成功後建立程序執行該檔案:
此次分析時下載的惡意模組包括:傳播模組、2個勒索病毒Downloader、竊密模組、挖礦模組(具體推送某類惡意程式隨時間以及C2伺服器而定)
挖礦模組分析
記憶體解密PE載入執行
挖礦模組與病毒母體採用了類似程式碼混淆方式,通過記憶體解密PE並載入執行:
解密配置檔案URL地址、以及礦池地址等資料
記憶體對映NTDLL模組,獲取所需API,繞過R3 Hook
通過 ofollow,noindex" target="_blank">http://92.63.197.60/newup.txt 獲取挖礦配置相關資料
分析除錯時,上述連結已失效:
解析配置資料,包含錢包地址、挖礦埠等配置資訊
構造xmrig Config配置檔案
根據前面獲取到的錢包地址等資訊,構造config檔案,並進行base64編碼儲存。
配置檔案格式化
Base64解碼後的配置檔案(由於url失效,無法獲取有效錢包地址)
持久化設定
拷貝自身至“ProgramData\GCxcrhlcfj”目錄,並建立r.vbs指令碼:
通過VBS指令碼,在start menu下生成url快捷方式,指向樣本自身:
呼叫wscript執行:
Url快捷方式負責啟動挖礦病毒:
解密內嵌的xmrig程式,借殼系統程式作為傀儡程序挖礦
掛起方式啟動wuapp.exe,其命令列引數為挖礦配置檔案:
解密xmrig:
解密xmrig
記憶體解密出的PE為XMRig 2.8.1版本:
在傀儡程序注入程式碼:
傀儡程序注入
監控TaskMgr.exe
為了隱蔽自身,樣本會實時遍歷系統程序檢查是否有工作管理員程序存在,如果發現則殺掉挖礦程序:
殺程序程式碼
竊密模組分析
該竊密木馬為Delphi編寫,竊密內容主要包括即時通訊軟體聊天記錄、瀏覽器歷史記錄、WinSCP憑據、Steam賬號、虛擬貨幣錢包、郵箱、螢幕截圖等。
樣本嘗試與C2伺服器通訊拉取配置資訊(伺服器已失效)
相關竊密功能程式碼結構:
涉及的虛擬貨幣錢包:
Exodus 、JAXX、MultiBit HD
Monero
Electrum、Electrum-LTC、BitcoinCore
即時通訊軟體:
Skype聊天記錄等資料
Pidgin、PSI、TeleGram
WinSCP:
Outlook郵箱:
Steam賬號相關:
竊取瀏覽器的歷史記錄、Cookie等資訊(主要針對火狐瀏覽器):
火狐瀏覽器sqlite資料庫
勒索模組分析
由母體下載的2個勒索模組是做了靜態免殺的DownLoader,其中一個針對“中國”地區,而另一個針對“越南”以及“中國”地區投放GandCrab勒索病毒。以下是針對“中國”和“越南”地區的下載邏輯相關程式碼,另一個只針對“中國”類似,此處不重複分析。
地區列表
通過訪問 http://92.63.197.48/geo.php 從伺服器拉取地區程式碼列表,然後與”CN”以及”VN”相比較,如果滿足這兩個地區,則開始下載GandCrab勒索病毒:
比較地區列表
通過C2下載GandCrab母體並執行
下載的GandCrab母體為5.0.4版本,與常見的版本無差異,這裡不再做重複分析:
傳播模組分析
傳播模組依舊做了靜態免殺處理,以及設定持久化執行,並通過SMTP協議傳送攜帶惡意附件的郵件進行傳播,郵件附件為帶有惡意JS指令碼的壓縮包,該惡意指令碼最終通過Powershell遠端下載並執行本次蠕蟲母體DownLoader。
持久化設定
拷貝自身到windows\自建目錄下,並重命名為wincfgrmgr32:
通過登錄檔設定自身為開機啟動:
通過aol.com獲取郵箱伺服器地址並測試連通性
郵箱伺服器:mx-aol.mail.gm0.yahoodns.net
下載並打包JS DownLoader指令碼
通過C2: http://ssofhoseuegsgrfnu.ru/m/get.js 下載惡意js指令碼,該JS是一個 DownLoader,儲存在TEMP目錄隨機檔名.jpg
連線伺服器下載js檔案
經過混淆處理的js程式碼
接著將js指令碼檔案壓縮成zip格式:
然後將js檔案壓縮包進行base64編碼並儲存在\%TEMP%\隨機檔名.jpg:
BASE64編碼
通過SMTP協議隨機發送惡意郵件
通過C2( http://ssofhoseuegsgrfnu.ru/m/xxx.txt )獲取目標郵箱列表:
隨機讀取該郵箱列表檔案,取出郵箱地址,通過SMTP協議傳送惡意郵件,其郵件附件會攜帶前面壓縮好的JS指令碼的壓縮包:
通過SMTP傳送惡意郵件
執行惡意JS指令碼
當惡意js指令碼在受害者的終端上執行後,js指令碼會通過Powershell下載並執行此次蠕蟲母體:
程序鏈資訊
相關IOC/">IOCs
MD5:
c30f72528bb6ab5aab25b33036973b07
48087776645fd9709f09828be7e42f8f
fa940342c3903f54c452a8a2483b1235
24275604649ac0abafe99b981b914fbc
a13d3aef725832752be1605e50b6f7e0
574c8a27fc79939ca1343ccb2722b74f
dfd5be2aeabc2a79c1e64e0b3a6dac73
64e0e23cdec4358354628195ec81a745
C&C:
92.63.197.60
92.63.197.48
92.63.197.112
92.63.197.60:9090
URLs:
hxxp:// 92.63.197.48/t.exe
hxxp:// 92.63.197.48/m.exe
hxxp:// 92.63.197.48/p.exe
hxxp:// 92.63.197.48/s.exe
hxxp:// 92.63.197.48/o.exe
hxxp://ssofhoseuegsgrfnu.ru/m/xxx.txt
hxxp://ssofhoseuegsgrfnu.ru/m/get.js
WalletAddr:
1LdFFaJiM7R5f9WhUEskVCaVokVtHPHxL5
28VcfDWthf987aBo6ddyGuYnMkwtWo6bBe4j7Q87pDYxEEGZzHseUMvFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97qVBups
XfPoiH5ShPQdXC3Kc39XzCaB84eL1w53oA
DPngr3jnAGgKY45vQpt4NmYt3jQCP2smrW
0xa9b717e03cf8f2d792bff807588e50dcea9d0b1c
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQrqWkGbn7jMQVGL3aA
LPuhyFoFggYkXwkkmDbnA19hu1wzuJggHJ
rBkCLqPgHiKt6Hdddnjq27ECehHqCcCHTD
t1aGAy8CBERajaMAKdzddp3WttD5Czji55S
總結及安全建議
通過分析我們可以看到,本次的蠕蟲病毒開始傳播勒索病毒GandCrab,而且主要針對的是中國和越南地區,病毒擴散渠道從郵件附件到U盤傳播等,覆蓋範圍比起單純的某一種傳播方式要大不少,同時這背後是否也含有病毒傳播者認為國人的安全防範意識不夠也未可定,總之本次的傳播新動向值得引起國人的高度警惕。
針對本次的病毒技術特點以及結合以往的病毒傳播方式,我們給出以下安全建議:
- 不要開啟來歷不明的郵件附件
- 在Windows中禁用U盤的“自動執行”功能
- 打齊作業系統安全補丁,及時升級Web、資料庫等服務程式,防止病毒利用漏洞傳播
- 避免使用弱口令,採用複雜密碼,設定登入失敗次數限制,防止暴力破解攻擊
- 安裝防毒軟體,定期掃描電腦,及時升級更新病毒庫保持防毒軟體的良好執行
- 提高安全意識,保持良好的上網習慣,重要資料做好備份
關於360終端安全實驗室
360終端安全實驗室由多名經驗豐富的惡意程式碼研究專家組成,重點著力於常見病毒、木馬、蠕蟲、勒索軟體等惡意程式碼的原理分析和研究,致力為中國政企客戶提供快速的惡意程式碼預警和處置服務,在曾經流行的WannaCry、Petya、Bad Rabbit的惡意程式碼處置過程中表現優異,受到政企客戶的廣泛好評。
依託360在網際網路為13億使用者提供終端安全防護的經驗積累,360終端安全實驗室以360天擎新一代終端安全管理系統為依託,為客戶提供簡單有效的終端安全管理理念、完整的終端解決方案和定製化的安全服務,幫助廣大政企客戶解決內網安全與管理問題,保障政企終端安全。
關於360天擎新一代終端安全管理系統
360天擎新一代終端安全管理系統是360企業安全集團為解決政企機構終端安全問題而推出的一體化解決方案,是中國政企客戶3300萬終端的信賴之選。系統以功能一體化、平臺一體化、資料一體化為設計理念,以安全防護為核心,以運維管控為重點,以視覺化管理為支撐,以可靠服務為保障,能夠幫助政企客戶構建終端防病毒、入侵防禦、安全管理、軟體分發、補丁管理、安全U盤、伺服器加固、安全准入、非法外聯、運維管控、主機審計、移動裝置管理、資產發現、身份認證、資料加密、資料防洩露等十六大基礎安全能力,幫助政企客戶構建終端威脅檢測、終端威脅響應、終端威脅鑑定等高階威脅對抗能力,為政企客戶提供安全規劃、戰略分析和安全決策等終端安全治理能力。
