压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日，亞信安全截獲利用混淆的JS代碼傳播的Sodinokibi勒索病毒變種文件，其通過垃圾郵件附件傳播。由于附件是混淆的JS腳本文件，其可以輕松逃避殺毒軟件的檢測，一旦用戶點擊附件，計算機中的文件將會被加密。亞信安全將其命名為TROJ_FR.620727BA。

Sodinokibi勒索病毒首次出現(xiàn)在今年4月份，早期版本使用Web服務(wù)相關(guān)漏洞傳播，后來發(fā)現(xiàn)該勒索病毒通過垃圾郵件附件傳播，亞信安全曾經(jīng)多次截獲此類垃圾郵件，其附件是偽裝的Word文檔，實際上是PE格式的可執(zhí)行文件，其附件文件名稱通常為:關(guān)於你案件的文件.doc.exe，聯(lián)繫方式.doc.exe，來自最高法院的文件\錶殼材料.doc.exe，稅務(wù)局的文件\樣品填充.doc.exe等，這些帶有誘惑性的文件名，極易誤導(dǎo)用戶點擊。

攻擊流程解析

Sodinokibi勒索病毒最新變種詳細(xì)分析

原始樣本是一個混淆過的JS腳本，通過對數(shù)組內(nèi)容的讀取獲取混淆后的具體代碼，內(nèi)容如下:

通過動態(tài)調(diào)試，獲取到解混淆后正常的JS代碼，該腳本主要是利用PowerShell進一步去除混淆:

通過以上代碼，安全專家得知變量vhtsxspmssj是一個混淆的PowerShell腳本。去除混淆(將其中的感嘆號去除)后它將會被保存到j(luò)urhtcbvj.tmp中:

去除混淆后，通過PowerShell執(zhí)行Base64加密的數(shù)據(jù):

安全專家將其中加密的數(shù)據(jù)進行Base64解密，如下圖所示，其仍然是通過將數(shù)據(jù)Base64加密，然后利用PowerShell進行解密后執(zhí)行，主要是執(zhí)行install1函數(shù):

安全專家對其中加密的數(shù)據(jù)進行解密，本次解密主要是利用PowerShell腳本來進行，將運行解密后的數(shù)據(jù)輸出到文件中，以便安全專家進一步分析。安全專家修改原始的腳本，內(nèi)容如下:

運行腳本后，安全專家發(fā)現(xiàn)本次加密數(shù)據(jù)其實的是一個PE文件，通過查看文件信息，此文件是一個.NET模塊。安全專家將此命名為dump_1.dll文件:

dump_1.dll文件分析(.NET模塊)

安全專家對此.NET文件進行逆向分析，主要是查找原始腳本中執(zhí)行的install1()函數(shù)，該函數(shù)的主要功能是將主要數(shù)據(jù)Base64加密，然后使用NET中的相關(guān)解密函數(shù)解密后加載到內(nèi)存中執(zhí)行:

安全專家將base64加密的數(shù)據(jù)手動進行base64解密，發(fā)現(xiàn)它是一個PE文件，查看文件信息，是使用Borland Delphi編寫的DLL文件，安全專家將此命名為dump_2.dll文件:

dump_2.dll文件分析

安全專家對相關(guān)的DLL(dump_2.dll)文件進行逆向分析，通過查看導(dǎo)入函數(shù)，安全專家發(fā)現(xiàn)了有對資源操作的API，可能是該文件的資源截取存在可疑數(shù)據(jù):

安全專家通過查看dump_2.dll文件的資源數(shù)據(jù)，發(fā)現(xiàn)是一個被加密的數(shù)據(jù)，資源段名稱為HELP，通過查看反匯編相關(guān)代碼，該加密數(shù)據(jù)用7B異或，即可獲取解密后的相關(guān)數(shù)據(jù):

安全專家可以選擇動態(tài)調(diào)試解密，在知道如何解密的情況下，也可以使用二進制工具手動進行異或解密。解密后，安全專家發(fā)現(xiàn)又是一個PE文件，安全專家命名為dump_3.dll,繼續(xù)對此文件進行分析:

dump_3.dll文件分析

安全專家查看該文件的信息，發(fā)現(xiàn)其信息與dump_2.dll基本類似，查看反匯編代碼，同樣是使用了資源截取存放payload。安全專家將此payload命令為dump_4.dll文件:

它還會檢查AhnLab相關(guān)服務(wù)和文件是否存在，AhnLab(安博士)是韓國的一家殺毒軟件:

通過進一步查看其反匯編代碼，加載payload的方式是使用Process Hollowing技術(shù)。如果找到AhnLab勒索軟件的服務(wù)或者文件，它將會通過Process Hollowing將此payload注入到該安全產(chǎn)品autoup.exe進程中。如果沒有安裝AhnLab勒索軟件，它將會通過Process Hollowing將此payload注入到當(dāng)前進程(PowerShell進程實例):

dump_4.dll文件分析(真正的勒索軟件主體)

安全專家查看dump_3.dll資源區(qū)域，存在加密的數(shù)據(jù)，使用同樣的方式7B進行異或，得到勒索軟件主體模塊Payload:

安全專家查看文件信息，發(fā)現(xiàn)區(qū)段中有一個異常的節(jié)，通過反匯編代碼可以看到，此節(jié)內(nèi)的數(shù)據(jù)是加密的，需要解密才可以知道其具體內(nèi)容(這與以往的Sodinokibi勒索病毒是一樣的，都有一個特殊的節(jié)存放著加密的配置文件信息，可能這個節(jié)的名字不一樣):

安全專家通過反匯編和動態(tài)調(diào)試，該區(qū)段果然與以往的Sodinokibi勒索病毒一樣，存放著配置信息，配置信息包括白名單目錄、文件擴展名以及域名信息等:

白名單目錄:

隨機域名列表信息:

刪除系統(tǒng)卷影，讓文件恢復(fù)變得更加困難:

加密后的桌面壁紙:

加密后文件的擴展名為.vx525c61

加密勒索通知信息:

亞信安全教你如何防范

• 不要點擊來源不明的郵件以及附件;
• 不要點擊來源不明的郵件中包含的鏈接;
• 采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼;
• 打開系統(tǒng)自動更新，并檢測更新進行安裝;
• 盡量關(guān)閉不必要的文件共享;
• 請注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個副本，用兩種不同格式保存，并將副本放在異地存儲。

亞信安全產(chǎn)品解決方案

• 亞信安全病毒碼版本309.60，云病毒碼版本15.309.71，全球碼版本15.311.00已經(jīng)可以檢測，請用戶及時升級病毒碼版本。

IOCs

3e974b7347d347ae31c1b11c05a667e2

##

關(guān)于亞信安全

亞信安全是中國網(wǎng)絡(luò)安全行業(yè)領(lǐng)跑者，以安全數(shù)字世界為愿景，旨在護航產(chǎn)業(yè)互聯(lián)網(wǎng)。亞信安全是云安全、身份安全、終端安全、態(tài)勢感知、高級威脅治理、威脅情報技術(shù)領(lǐng)導(dǎo)者，同時是5G、云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、工控、移動六大安全場景引領(lǐng)者。在國內(nèi)擁有2個獨立研發(fā)中心，2,000人安全專業(yè)團隊。欲了解更多，請訪問: http://www.asiainfo-sec.com

更多媒體垂詢，敬請聯(lián)絡(luò)：

亞信安全	謀信傳媒
劉婷婷	雷遠方
電話：010- 58256889電子郵件: liutt5@aisainfo-sec.com	電話：010-67588241電子郵件：leiyuanfang@ctocio.com