GandCrab传播新动向——五毒俱全的蠕虫病毒技术分析V1.1

近日,360终端安然实验室监控到GandCrab打单病毒有了新动向,和以往比拟本次GandCrab传播量有了显着的颠簸,我们阐发了背后缘故原由,发明这次颠簸是由一种近年较常见的蠕虫病毒引起的,该蠕虫病毒主要经由过程U盘和压缩文件传播,不停生动在包括局域网在内的浩繁终端上。该蠕虫病毒构成的僵尸收集,以前主要传播远控、窃密、挖矿等木马病毒,而现在开始送达GandCrab打单病毒。因为该病毒感染主机浩繁,影响较广,因而造成了此次GandCrab的传播颠簸。在此特提醒大年夜家留意保护好您的数据,警惕被打单病毒打击从而遭受弗成挽回的丧掉。

我们对该蠕虫病毒的最新变种进行了深入阐发。病毒的母体和以往比拟没有太大年夜变更,其主要分外之处在于其送达的病毒种类有了新变更,除了新增送达GandCrab打单病毒外,还发明该病毒的初次投放要领,也即病毒制作者是怎么投放病毒的。一样平常病毒的初次投放要领包括挂马、绑缚下载、邮件附件、租用僵尸收集、破绽使用等,而此次该病毒应用了邮件附件作为其初次投放传播的手段之一。

下面首先就其主要技巧特征概括如下:

病毒代码具有风格统一的肴杂要领,经由过程内存解密PE并加载履行来绕过杀软的静态扫描查杀,病毒的母体具有必然反沙箱反阐发能力;

具备多种传播要领,包括送达恶意邮件、感染Web/FTP办事器目录、U盘/收集磁盘传播、感染压缩文件等;

偷取多种虚拟泉币钱包,包括:Exodus、JAXX、MultiBit HD、Monero、Electrum、Electrum-LTC、BitcoinCore等多种泉币钱包;

经由过程挟制Windows剪贴板,调换多种主流虚拟泉币钱包地址,包括:BTC、ETH、LTC、XMR、XRP、ZEC、DASH、DOGE等币种;

偷取邮箱账号、Web网站登录账号、WinSCP凭证、Steam游戏平台账号、以及多种即时通讯软件谈天记录;

下载传播多种病毒,包括打单、窃密、挖矿、母体传播模块等,其母体内嵌的下载链接主要固定为5种,恰恰印证了“五毒俱全”的特征;

病毒进击流程

病毒具体阐发

母体DownLoader阐发

探测虚拟机/沙箱运行情况

病毒母体是一个DownLoader,运行时经由过程遍历进程以及反省加载的模块来探测运行情况是否是虚拟机或沙箱情况,此平分外针对python进程进行了反省(沙箱常用),还经由过程反省加载的DLL模块来检测sandboxie或sysanalyzer:

持久化设置

病毒会将自身拷贝至windows\自建目录\winsvcs32.exe,并创建注册表开机启动项实现持久化运行:

拷贝并重命名为winsvc32.exe

创建注册表开机启动项

删除自身的Zone.Identifier NTFS Stream避免运行时呈现风险提示

添加防火墙例外以及关闭Windows Defender实时防护等功能

防火墙以及Windows Defender相关设置

经由过程可移动磁盘/收集磁盘进行AUTORUN传播

针对收集磁盘以及可移动磁盘

在U盘根目录创建”_”目录以及将自身拷贝并重命名为DeviceManager.exe

创建指向病毒母体的lnk文件

Lnk文件内容

被感染后的U盘以及AutoRun.inf截图

经由过程感染压缩包进行传播

判断%appdata%\winsvcs.txt是否存在,不存在则创建该文件,该文件起到一个开关感化,用来判断是否对压缩文件进行感染:

将自身拷贝至%TEMP%目录,并重命名为“Windows Archive Manager.exe”:

遍通书地磁盘中的压缩文件,将病毒本体添加到压缩文件,受感染的压缩类型包括zip、rar、7z、tar:

[1] [2] [3] [4] [5]下一页

这部分代码功能还不太完善,颠末测试,压缩款式只支持zip、rar,7z和tar款式的支持有Bug,感染后会破坏原有款式:

调换FTP/WEB办事器目录下的EXE文件进行传播

遍历磁盘文件,判断EXE文件所在路径是否包孕如下FTP/WEB办事器目录:

假如满意前提,则把目录下的EXE文件调换成病毒自身文件:

监控系统剪贴板,挟制调换虚拟泉币钱包地址

监控剪贴板,假如发明有预期的虚拟泉币钱包地址,则进行调换,影响的币种包括:

Btc、eth、ltc、xmr、xrp、zec、dash、doge等。

判断种种泉币钱包地址特性

挟制监控剪贴板

经由过程内置C2下载多个恶意模块

母体内嵌了3个C2办事器以及多个肴杂的DNS备用地址用于下载传播其他病毒法度榜样(这些DNS暂时无效,但假如前面3个IP被封或掉效,可经由过程启用这些备用DNS来达到切换C2的目的):

将下列5个文件名与上述ULR链接拼接成完备下载链接:

此处5个恶意链接用来下载传播其他病毒,可谓“五毒俱全”。

下载的多个恶意模块保存在%TEMP%目录下并随机命名,然后删除对应的Zone.Identifier避免运行时呈现风险提示:

下载成功后创建进程履行该文件:

这次阐发时下载的恶意模块包括:传播模块、2个打单病毒Downloader、窃密模块、挖矿模块(详细推送某类恶意法度榜样随光阴以及C2办事器而定)

挖矿模块阐发

内存解密PE加载履行

挖矿模块与病毒母体采纳了类似代码肴杂要领,经由过程内存解密PE并加载履行:

解密设置设置设备摆设摆设文件URL地址、以及矿池地址等数据

内存映射NTDLL模块,获取所需API,绕过R3 Hook

经由过程http://92.63.197.60/newup.txt获取挖矿设置设置设备摆设摆设相关数据

阐发调试时,上述链接已掉效:

解析设置设置设备摆设摆设数据,包孕钱包地址、挖矿端口等设置设置设备摆设摆设信息

构造xmrig Config设置设置设备摆设摆设文件

根据前面获取到的钱包地址等信息,构造config文件,并进行base64编码保存。

设置设置设备摆设摆设文件款式化

Base64解码后的设置设置设备摆设摆设文件(因为url掉效,无法获取有效钱包地址)

上一页[1] [2] [3] [4] [5]下一页

持久化设置

拷贝自身至“ProgramData\GCxcrhlcfj”目录,并创建r.vbs脚本:

经由过程VBS脚本,在start menu下天生url快捷要领,指向样本自身:

调用wscript履行:

Url快捷要领认真启动挖矿病毒:

解密内嵌的xmrig法度榜样,借壳系统法度榜样作为傀儡进程挖矿

挂起要领启动wuapp.exe,其敕令行参数为挖矿设置设置设备摆设摆设文件:

解密xmrig:

解密xmrig

内存解密出的PE为XMRig 2.8.1版本:

在傀儡进程注入代码:

傀儡进程注入

监控TaskMgr.exe

为了隐蔽自身,样本会实时遍历系统进程反省是否有义务治理器进程存在,假如发明则杀掉落挖矿进程:

杀进程代码

窃密模块阐发

该窃密木马为Delphi编写,窃密内容主要包括即时通讯软件谈天记录、浏览器历史记录、WinSCP凭证、Steam账号、虚拟泉币钱包、邮箱、屏幕截图等。

样本考试测验与C2办事器通讯拉取设置设置设备摆设摆设信息(办事器已掉效)

相关窃密功能代码布局:

涉及的虚拟泉币钱包:

Exodus 、JAXX、MultiBit HD

Monero

Electrum、Electrum-LTC、BitcoinCore

即时通讯软件:

Skype谈天记录等数据

Pidgin、PSI、TeleGram

WinSCP:

上一页[1] [2] [3] [4] [5]下一页

Outlook邮箱:

Steam账号相关:

偷取浏览器的历史记录、Cookie等信息(主要针对火狐浏览器):

火狐浏览器sqlite数据库

打单模块阐发

由母体下载的2个打单模块是做了静态免杀的DownLoader,此中一个针对“中国”地区,而另一个针对“越南”以及“中国”地区投放GandCrab打单病毒。以下是针对“中国”和“越南”地区的下载逻辑相关代码,另一个只针对“中国”类似,此处不重复阐发。

地区列表

经由过程造访http://92.63.197.48/geo.php 从办事器拉取地区代码列表,然后与”CN”以及”VN”相对照,假如满意这两个地区,则开始下载GandCrab打单病毒:

对照地区列表

经由过程C2下载GandCrab母体并履行

下载的GandCrab母体为5.0.4版本,与常见的版本无差异,这里不再做重复阐发:

传播模块阐发

传播模块依旧做了静态免杀处置惩罚,以及设置持久化运行,并经由过程SMTP协议发送携带恶意附件的邮件进行传播,邮件附件为带有恶意JS脚本的压缩包,该恶意脚本终极经由过程Powershell远程下载并履行本次蠕虫母体DownLoader。

持久化设置

拷贝自身到windows\自建目录下,并重命名为wincfgrmgr32:

经由过程注册表设置自身为开机启动:

经由过程aol.com获取邮箱办事器地址并测试连通性

邮箱办事器:mx-aol.mail.gm0.yahoodns.net

下载并打包JSDownLoader脚本

经由过程C2:http://ssofhoseuegsgrfnu.ru/m/get.js 下载恶意js脚本,该JS是一个 DownLoader,保存在TEMP目录随机文件名.jpg

连接办事器下载js文件

颠末肴杂处置惩罚的js代码

接着将js脚本文件压缩成zip款式:

然后将js文件压缩包进行base64编码并保存在\%TEMP%\随机文件名.jpg:

BASE64编码

经由过程SMTP协议随机发送恶意邮件

经由过程C2(http://ssofhoseuegsgrfnu.ru/m/xxx.txt)获取目标邮箱列表:

上一页[1] [2] [3] [4] [5]下一页

随机读取该邮箱列表文件,掏出邮箱地址,经由过程SMTP协议发送恶意邮件,其邮件附件会携带前面压缩好的JS脚本的压缩包:

经由过程SMTP发送恶意邮件

履行恶意JS脚本

当恶意js脚本在受害者的终端上运行后,js脚本会经由过程Powershell下载并履行这次蠕虫母体:

进程链信息

相关IOCs

MD5:

c30f72528bb6ab5aab25b33036973b07

48087776645fd9709f09828be7e42f8f

fa940342c3903f54c452a8a2483b1235

24275604649ac0abafe99b981b914fbc

a13d3aef725832752be1605e50b6f7e0

574c8a27fc79939ca1343ccb2722b74f

dfd5be2aeabc2a79c1e64e0b3a6dac73

64e0e23cdec4358354628195ec81a745

C&C:

92.63.197.60

92.63.197.48

92.63.197.112

92.63.197.60:9090

URLs:

hxxp:// 92.63.197.48/t.exe

hxxp:// 92.63.197.48/m.exe

hxxp:// 92.63.197.48/p.exe

hxxp:// 92.63.197.48/s.exe

hxxp:// 92.63.197.48/o.exe

hxxp://ssofhoseuegsgrfnu.ru/m/xxx.txt

hxxp://ssofhoseuegsgrfnu.ru/m/get.js

hxxp://92.63.197.48/geo.php

hxxp://92.63.197.60/newup.txt

hxxp://92.63.197.48/index.php

WalletAddr:

1LdFFaJiM7R5f9WhUEskVCaVokVtHPHxL528VcfDWthf987aBo6ddyGuYnMkwtWo6bBe4j7Q87pDYxEEGZzHseUMvFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97qVBups

XfPoiH5ShPQdXC3Kc39XzCaB84eL1w53oA

DPngr3jnAGgKY45vQpt4NmYt3jQCP2smrW

0xa9b717e03cf8f2d792bff807588e50dcea9d0b1c

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQrqWkGbn7jMQVGL3aA

LPuhyFoFggYkXwkkmDbnA19hu1wzuJggHJ

rBkCLqPgHiKt6Hdddnjq27ECehHqCcCHTD

t1aGAy8CBERajaMAKdzddp3WttD5Czji55S

总结及安然建议

经由过程阐发我们可以看到,本次的蠕虫病毒开始传播打单病毒GandCrab,而且主要针对的是中国和越南地区,病毒扩散渠道从邮件附件到U盘传播等,覆盖范围比起纯真的某一种传播要领要大年夜不少,同时这背后是否也含有病毒传播者觉得国人的安然警备意识不敷也未可定,总之本次的传播新动向值得引起国人的高度鉴戒。

针对本次的病毒技巧特征以及结合以往的病毒传播要领,我们给出以下安然建议:

不要打开来历不明的邮件附件

在Windows中禁用U盘的“自动运行”功能

打齐操作系统安然补丁,及时进级Web、数据库等办事法度榜样,防止病毒使用破绽传播

避免应用弱口令,采纳繁杂密码,设置登录掉败次数限定,防止暴力破解进击

安装杀毒软件,按期扫描电脑,及时进级更新病毒库维持杀毒软件的优越运行

前进安然意识,维持优越的上网习气,紧张数据做好备份

上一页[1] [2] [3] [4] [5]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包