压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日，亞信安全截獲利用混淆的JS代碼傳播的Sodinokibi勒索病毒變種文件，其通過垃圾郵件附件傳播。由于附件是混淆的JS腳本文件，其可以輕松逃避殺毒軟件的檢測，一旦用戶點(diǎn)擊附件，計(jì)算機(jī)中的文件將會(huì)被加密。亞信安全將其命名為TROJ_FR.620727BA。

Sodinokibi勒索病毒首次出現(xiàn)在今年4月份，早期版本使用Web服務(wù)相關(guān)漏洞傳播，后來發(fā)現(xiàn)該勒索病毒通過垃圾郵件附件傳播，亞信安全曾經(jīng)多次截獲此類垃圾郵件，其附件是偽裝的Word文檔，實(shí)際上是PE格式的可執(zhí)行文件，其附件文件名稱通常為:關(guān)於你案件的文件.doc.exe，聯(lián)繫方式.doc.exe，來自最高法院的文件\錶殼材料.doc.exe，稅務(wù)局的文件\樣品填充.doc.exe等，這些帶有誘惑性的文件名，極易誤導(dǎo)用戶點(diǎn)擊。

攻擊流程解析

Sodinokibi勒索病毒最新變種詳細(xì)分析

原始樣本是一個(gè)混淆過的JS腳本，通過對(duì)數(shù)組內(nèi)容的讀取獲取混淆后的具體代碼，內(nèi)容如下:

通過動(dòng)態(tài)調(diào)試，獲取到解混淆后正常的JS代碼，該腳本主要是利用PowerShell進(jìn)一步去除混淆:

通過以上代碼，安全專家得知變量vhtsxspmssj是一個(gè)混淆的PowerShell腳本。去除混淆(將其中的感嘆號(hào)去除)后它將會(huì)被保存到j(luò)urhtcbvj.tmp中:

去除混淆后，通過PowerShell執(zhí)行Base64加密的數(shù)據(jù):

安全專家將其中加密的數(shù)據(jù)進(jìn)行Base64解密，如下圖所示，其仍然是通過將數(shù)據(jù)Base64加密，然后利用PowerShell進(jìn)行解密后執(zhí)行，主要是執(zhí)行install1函數(shù):

安全專家對(duì)其中加密的數(shù)據(jù)進(jìn)行解密，本次解密主要是利用PowerShell腳本來進(jìn)行，將運(yùn)行解密后的數(shù)據(jù)輸出到文件中，以便安全專家進(jìn)一步分析。安全專家修改原始的腳本，內(nèi)容如下:

運(yùn)行腳本后，安全專家發(fā)現(xiàn)本次加密數(shù)據(jù)其實(shí)的是一個(gè)PE文件，通過查看文件信息，此文件是一個(gè).NET模塊。安全專家將此命名為dump_1.dll文件:

dump_1.dll文件分析(.NET模塊)

安全專家對(duì)此.NET文件進(jìn)行逆向分析，主要是查找原始腳本中執(zhí)行的install1()函數(shù)，該函數(shù)的主要功能是將主要數(shù)據(jù)Base64加密，然后使用NET中的相關(guān)解密函數(shù)解密后加載到內(nèi)存中執(zhí)行:

安全專家將base64加密的數(shù)據(jù)手動(dòng)進(jìn)行base64解密，發(fā)現(xiàn)它是一個(gè)PE文件，查看文件信息，是使用Borland Delphi編寫的DLL文件，安全專家將此命名為dump_2.dll文件:

dump_2.dll文件分析

安全專家對(duì)相關(guān)的DLL(dump_2.dll)文件進(jìn)行逆向分析，通過查看導(dǎo)入函數(shù)，安全專家發(fā)現(xiàn)了有對(duì)資源操作的API，可能是該文件的資源截取存在可疑數(shù)據(jù):

安全專家通過查看dump_2.dll文件的資源數(shù)據(jù)，發(fā)現(xiàn)是一個(gè)被加密的數(shù)據(jù)，資源段名稱為HELP，通過查看反匯編相關(guān)代碼，該加密數(shù)據(jù)用7B異或，即可獲取解密后的相關(guān)數(shù)據(jù):

安全專家可以選擇動(dòng)態(tài)調(diào)試解密，在知道如何解密的情況下，也可以使用二進(jìn)制工具手動(dòng)進(jìn)行異或解密。解密后，安全專家發(fā)現(xiàn)又是一個(gè)PE文件，安全專家命名為dump_3.dll,繼續(xù)對(duì)此文件進(jìn)行分析:

dump_3.dll文件分析

安全專家查看該文件的信息，發(fā)現(xiàn)其信息與dump_2.dll基本類似，查看反匯編代碼，同樣是使用了資源截取存放payload。安全專家將此payload命令為dump_4.dll文件:

它還會(huì)檢查AhnLab相關(guān)服務(wù)和文件是否存在，AhnLab(安博士)是韓國的一家殺毒軟件:

通過進(jìn)一步查看其反匯編代碼，加載payload的方式是使用Process Hollowing技術(shù)。如果找到AhnLab勒索軟件的服務(wù)或者文件，它將會(huì)通過Process Hollowing將此payload注入到該安全產(chǎn)品autoup.exe進(jìn)程中。如果沒有安裝AhnLab勒索軟件，它將會(huì)通過Process Hollowing將此payload注入到當(dāng)前進(jìn)程(PowerShell進(jìn)程實(shí)例):

dump_4.dll文件分析(真正的勒索軟件主體)

安全專家查看dump_3.dll資源區(qū)域，存在加密的數(shù)據(jù)，使用同樣的方式7B進(jìn)行異或，得到勒索軟件主體模塊Payload:

安全專家查看文件信息，發(fā)現(xiàn)區(qū)段中有一個(gè)異常的節(jié)，通過反匯編代碼可以看到，此節(jié)內(nèi)的數(shù)據(jù)是加密的，需要解密才可以知道其具體內(nèi)容(這與以往的Sodinokibi勒索病毒是一樣的，都有一個(gè)特殊的節(jié)存放著加密的配置文件信息，可能這個(gè)節(jié)的名字不一樣):

安全專家通過反匯編和動(dòng)態(tài)調(diào)試，該區(qū)段果然與以往的Sodinokibi勒索病毒一樣，存放著配置信息，配置信息包括白名單目錄、文件擴(kuò)展名以及域名信息等:

白名單目錄:

隨機(jī)域名列表信息:

刪除系統(tǒng)卷影，讓文件恢復(fù)變得更加困難:

加密后的桌面壁紙:

加密后文件的擴(kuò)展名為.vx525c61

加密勒索通知信息:

亞信安全教你如何防范

• 不要點(diǎn)擊來源不明的郵件以及附件;
• 不要點(diǎn)擊來源不明的郵件中包含的鏈接;
• 采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼;
• 打開系統(tǒng)自動(dòng)更新，并檢測更新進(jìn)行安裝;
• 盡量關(guān)閉不必要的文件共享;
• 請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在異地存儲(chǔ)。

亞信安全產(chǎn)品解決方案

• 亞信安全病毒碼版本309.60，云病毒碼版本15.309.71，全球碼版本15.311.00已經(jīng)可以檢測，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本。

IOCs

3e974b7347d347ae31c1b11c05a667e2

##

關(guān)于亞信安全

亞信安全是中國網(wǎng)絡(luò)安全行業(yè)領(lǐng)跑者，以安全數(shù)字世界為愿景，旨在護(hù)航產(chǎn)業(yè)互聯(lián)網(wǎng)。亞信安全是云安全、身份安全、終端安全、態(tài)勢感知、高級(jí)威脅治理、威脅情報(bào)技術(shù)領(lǐng)導(dǎo)者，同時(shí)是5G、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、工控、移動(dòng)六大安全場景引領(lǐng)者。在國內(nèi)擁有2個(gè)獨(dú)立研發(fā)中心，2,000人安全專業(yè)團(tuán)隊(duì)。欲了解更多，請(qǐng)?jiān)L問: http://www.asiainfo-sec.com

更多媒體垂詢，敬請(qǐng)聯(lián)絡(luò)：

亞信安全	謀信傳媒
劉婷婷	雷遠(yuǎn)方
電話：010- 58256889電子郵件: liutt5@aisainfo-sec.com	電話：010-67588241電子郵件：leiyuanfang@ctocio.com