研究分析GandCrab勒索软件

2018年02月11日 09:56 342

导语:网络安全公司LMNTRIX的专家在暗网俄罗斯黑客社区发现了一种名为GandCrab的新型勒索软件,并对其进行了分析。


 

在过去的三天里,LMNTRIX Labs一直在追踪GandCrab勒索软件,该样本通过RIG漏洞传播。

我们分析的样本为:5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011,文件大小129KB。

 


感染


图1:Ransom_GANDCRAB 检测


文件版本和资源如下所示:

 

图2:资源——文件图标

 

图3:勒索软件样本版本信息


加密
在调试器中加载样本以进一步研究恶意软件的行为:

00401424|。FF15 54F04000 CALL DWORD PTR DS:[<&KERNEL32.GlobalAlloc>];\GlobalAlloc

GlobalAlloc函数用于内存管理,主要用于解密或解码文件中的代码。


图4:解码函数


遍历上面快照中突出显示的子进程:Address4011F1。执行所有的指令,到达如下位置:


图5:跳到解密代码


进一步调试代码之后,我们发现这个文件包含了一些反调试技巧:

 

上面的代码都紧紧围绕反调试。我们还在代码中看到多个与网络相关的部件:

这些指令有选择性地调用网络连接函数。在分析过程中,我们观察到恶意软件联系以下域名:

ipv4bot.whatismyipaddress.com ——用来检测网络的IP地址

a.dnspod.com ——我们确认其在Virustotal的Fortinet AV中标记为恶意软件。


注册表项和文件创建
父文件的副本释放在 %appdata%\Microsoft t文件夹中,文件名随机。

并在创建的注册表项中定位相同的文件: 

为找到文件名和注册表键值的随机性,我们在执行文件之前恢复了干净状态。 使用<random name.exe>创建副本文件。 Runonce键的值也是随机生成的。 下面是一个例子: 

随机值:

研究分析GandCrab勒索软件

在%appdata%文件夹中,恶意软件将释放名为GDCB-DECRYPT.txt的文本文件。这包含恶意软件的赎金便条,指示用户下载Tor浏览器后购买私钥: 


 

图6:GDGB-DECRYPT.txt


IOC

文件哈希:
SHA 256: 5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011

恶意域名:

a.dnspod.com



TOR 链接:
hxxp://gdcbghvjyqy7jclk.onion.top/259a4fdc3766943
hxxp:// gdcbghvjyqy7jclk.onion.casa/259a4fdc3766943
hxxp://gdcbghvjyqy7jclk.onion.guide/259a4fdc3766943

勒索软件变种添加的文件扩展名:
.GDCB

注册表:
键: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE"  
值: "Random value name on each execution"

物理位置:

%appdata% \Microsoft文件夹中,文件名随机


结论
建议用户应用IOC详细信息设置警报以防止感染。另外,用户在收到不明用户的附件时应时刻谨慎。

本文转载自嘶吼


阿里聚安全

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。



标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录