知己知彼之新型勒索Viro Botnet Ransomware的功能分析

近来发明一个冒充成Office Update的打单软件差一点手抖就双击点击运行了,上网一查发明照样个新的样本叫VIBOROT,就简单的看了一下相关先容与功能。

Viro僵尸收集与任何已知的打单软件系列无关。在我们阐发了一个类似locky打单软件变种的7天后,Viro僵尸收集首次在2018年9月17日被察看到,将Viro僵尸收集下载到谋略机后,它将反省是否存在注册表项(谋略机GUID和产品密钥),以确定系统是否应加密。该病毒具有打单软件和僵尸收集功能影响了较多美国互联网用户, 一旦Viro僵尸收集感染机械,它也会成为垃圾邮件僵尸收集的一部分,该僵尸收集将打单软件分发给更多的受害者。

链接如下:https://blog.trendmicro.com/trendlabs-security-intelligence/virobot-ransomware-with-botnet-capability-breaks-through/

0×1 法度榜样主体

冒充成Office Updater整体的功能分部大年夜致如下,主要功能包括打单的加密与解密、僵尸收集、获取主机信息、键盘记录、进程创建、恶意文件下载等功能。

0×2 打单模块

加密算法主要应用了AES+RSA加密算法,采纳256位的密钥、128位的分组大年夜小同时应用了CBC模式(密码分组链接Cipher-block chaining),之后再应用RSA算法进行非对称加密。

调用函数RNGCryptoServiceProvider 天生随机的32位的密码

读取RindaelManaged的向量和颠末RSA加密后的密文长度,转化成32 位无符号的整数值。同时调用 CryptoStream、FileStream函数天生文件数据流与加密数据流,着末天生颠末AES与RSA加密后的.enc的文件。

加密完成之后同时在跟目录下面天生readme.txt文件

源说话为法语,颠末翻译之后如下图

应用递归函数对目录进行轮回的加密

主要加密的文件类型如下

0×3 敕令履行

本地的敕令履行有三种实现要领依次为Cmd、Powershell、CSharp(C#)

新建了一个Process进程设置为暗藏属性,将敕令保存在stringReader里经由过程措施StandardInput.WriteLine进行履行

将返回结果传回C2办事器

0×4 键盘记录

应用windows钩子(Hook)抓取键盘消息

新建一个WebClient将本地抓取到的键盘记录上传到C2办事器上(https://viro.mleydier.fr)

0×5 进程操作

依次调用系统函数CreateProcess、VirtualAlloc、WriteVirualMemory分配虚拟内存,,然后在该块内存中写入代码可以履行代码

依次调用系统函数NtGetContextThread、NtWriteVirtualMemory、NtSetContextThread、NtResumeThread实现进程注入。

0×6 总结

病毒主要经由过程钓鱼邮件进行传播,对付陌生邮件的附件或者来路不明的文件必然要鉴戒。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包