恶意软件|威胁分析 Petya -把勒索软件带到低水平 发布:2016年4月1日由必威官方登录备用 最后更新:7月16日,2021年 我们深入了解Petya勒索软件的世界。 Petya不同于其他受欢迎的人ransomware这些天。相反,通过一个加密的文件之一,它拒绝通过攻击在磁盘上的低级别结构的访问整个系统。这勒索的作者们不仅创造了自己引导加载程序但也有很小的内核,这是32个扇区长。 彼佳的滴管在盘的开头写入恶意代码。受影响的系统主引导记录被自定义引导加载程序覆盖,该加载程序加载一个微小的恶意内核。然后,该内核继续进行进一步的加密。Petya的勒索信上说加密了整个磁盘,但这不是真的。相反,它加密主文件表(MFT)使文件系统不可读。 [更新]阅读最新版本:黄金眼 预防提示:Petya在感染的第二阶段是最危险的,这一阶段开始时,受感染的系统在滴管引起的蓝屏后重新启动。为了防止您的计算机自动进入这个阶段,请关闭系统故障后自动重启(看看怎么做). 如果您在阶段1中检测到Petya,您的数据仍然可以恢复。关于它的更多信息是(在这里)而在这篇文章。 更新:2016年4月8日,Petya第二阶段已被破解leo-stone.阅读更多:https://petya-pay-no-ransom.herokuapp.com/和https://github.com/leo-stone/hack-petya.帮助磁盘恢复的教程是在这里. 分析样品 dfcced98585128312b62b42a2a250dd2- 包含恶意可执行压缩包 af2379cc4d607a45ac44d62135fb7015-主可执行文件 7899年d6090efae964024e11f6586a69ce——Setup.dll d80fc07cc293bcd36e630d45a34aca11-一个Petya引导加载程序+内核的转储 来自另一个活动的主要可执行文件(PDF图标) a92f13f3a1b3b39833d3cc336301b713 特别感谢:弗洛里安·罗斯-为了分享样本,彼得·贝内斯——对建设性的讨论在Twitter。 行为分析 这种勒索软件通过以求职申请为主题的诈骗邮件发送。电子邮件附带一个Dropbox链接,恶意ZIP就在那里。这个初始ZIP包含两个元素: 一个年轻男子的照片,声称是一个申请者(事实上这是一个公开的库存图片) 一个可执行文件,假装是一个自解压缩文件或PDF格式的CV(实际上它是一个恶意的droppper,以32位PE文件的形式): 为了执行它的有害特性,它需要使用Administrator权限运行。然而,它甚至没有尝试部署任何用户帐户控制(UAC)旁路技术。它完全依赖于社会工程。 当我们尝试运行它时,UAC弹出这个警告: 部署应用程序后,系统崩溃。当它重新启动时,我们看到下面的画面,这是一个模仿CHKDSK扫描: 实际上,恶意内核已经在加密了。当它完成时,受影响的用户会遇到这个闪烁的屏幕,上面有一个ASCII图案: 按下一个键就会进入主屏幕,屏幕上有勒索信和所有必要的信息,这些信息可以到达网络面板并进行付款: 感染阶段 这ransomware两个感染阶段. 第一个由dropper (Windows可执行文件)执行。它覆盖磁盘的开始部分(包括MBR),并对原始数据进行异或加密备份。这一阶段以故意执行BSOD.在这一点上保存的数据是比较容易的,因为只有被攻击的磁盘开始被覆盖。文件系统不被破坏,我们仍然可以安装该磁盘,并使用其内容。这就是为什么,如果你怀疑你有这样的勒索软件,我们推荐的第一件事情是不重新启动系统。相反,使磁盘转储。最终,你可以在这个阶段,装载该磁盘到另一个操作系统并进行文件备份。参见:彼佳关键译码器. 第二阶段是由假CHKDSK扫描中执行。在此之后,文件系统被破坏,无法读取。 然而,这是不正确的全磁盘加密。如果我们通过取证工具查看它,我们可以看到许多有效的元素,包括字符串。 受害者网站 我们注意到,针对受害者的网站准备充分,内容丰富。菜单提供了几种语言版本,但目前只有英语版本: 它还提供了受影响用户如何恢复数据的一步一步的过程: 步骤1:输入您的个人标识符 第二步:购买比特币 第三步:做一个比特币交易 第四步:等待确认 我们希望网络罪犯尽可能少地泄露自己的信息。但在这种情况下,作者和/或发布者非常开放,共享团队名称——“Janus网络犯罪解决方案”——以及项目发布日期——2015年12月12日。此外,他们还提供更新的新闻feed,包括关于他们的新闻参考: 在问题或问题的情况下,还可以通过网络的形式与他们联系。 内部 阶段1 正如我们前面提到的,执行的第一个阶段是在Windows可执行文件。它是装在一个良好的质量FUD / cryptor这就是为什么我们看不到的恶意代码在第一。执行开始于是无害的,只对欺骗的目的和保护有效载荷使用的层。真正的恶意功能是有效负载动态解压到内存里面。 下面您可以看到正在运行的进程的内存。属于原EXE的代码被标记为红色。未打包的恶意代码被标记为蓝色: 解压缩的内容是另一个PE文件: 然而,如果我们试图转储它,我们不会得到一个有效的可执行文件。它的数据目录被销毁。加密器对PE文件进行了处理,以便在连续的空间中加载,而不是按节划分。它失去了独立运行的能力,没有被加密的存根加载。保存为RVA的地址实际上是原始地址。 我已经使用自定义工具重新映射了它们,它显示了更多的信息,即这个PE文件的名称是Setup.dll: 更新:如果我们在正确的时刻捕捉到解包的过程,我们可以在DLL被销毁之前转储它。最终有效载荷为:7899年d6090efae964024e11f6586a69ce 顾名思义,有效负载的作用是为下一阶段设置一切。首先,它生成一个惟一的密钥,用于进一步加密。攻击者也必须知道这个密钥。这就是为什么它被ECC加密,并作为个人标识显示给受害者,必须通过个性化页面发送给攻击者。 随机值由Windows Crypto API函数检索:CryptGenRandom.下面,它得到128个随机字节: 制作洋葱地址: 使用。检索磁盘参数DeviceIoControl 对磁盘的读写: 覆盖盘开始后,就故意崩溃的系统,使用无证功能NtRaiseHardError: 此时,磁盘上的更改的第一阶段已经完成。下面你可以看到MBR被Petya的引导加载程序覆盖: 接下来的几个扇区包含原始数据的备份与异或“7”。在此之后,我们可以找到复制彼佳代码(从0x4400开始-扇区34)。 我们还可以看到,显示在赎金的字符串,复制到磁盘: 第二阶段 阶段2在写入磁盘开头的代码内部。此代码使用16位架构。 执行从一个引导加载程序开始,它将微小的恶意内核加载到内存中。下面我们可以看到加载函数的执行。内核从34扇区开始,它是32扇区长(包括保存的数据): 内核的开始: 使用保存在扇区54开头的一个字节标志来检查数据是否已经加密。如果该标志未设置,程序将进行假CHKDSK扫描。否则,它将显示主屏幕的红色。 假CHKDSK加密使用MFTSalsa20算法。使用的密钥长度为32字节,从地址0x6C01读取。之后,密钥就会被删除。 Salsa20在Petya的代码中用于多个地方——用于加密、解密和密钥验证。见下图: 在显示红色屏幕的同一功能内关键检查程序被调用。首先,系统将提示用户提供密钥。最大输入长度为73个字节,最小是16个字节。 调试 当然,我们不能通过典型的方式调试Petya的这个阶段用户空间调试器是分析恶意软件的临时工具。我们得去底层。在我看来,最简单的方法是使用Bochs内部调试器.我们得把被感染的磁盘全部转储出来。然后,我们可以在Bochs下装载它。 我用下面的Bochs配置(“infected.dsk”是我的磁盘转储):bochsrc.txt 这是它看起来如何在Bochs的运行: 主要验证 密钥验证步骤如下: 读取用户的输入。 接受的字符集:123456789 abcdefghijkmnopqrstuvwxabcdefghjklmnpqrstuvwx-如果出现该字符集之外的字符,则跳过该字符集。 只有第一16个字节存储 当提供关键是由自定义算法编码的。编码的关键长度为32字节。 扇区55(512字节)的数据被读入内存//它将被表示为验证缓冲 存储在物理地址0x6c21(就在Tor地址之前)的值被读入内存。这是一个8字节长的数组,对于特定的感染是唯一的。//它将被表示为现时标志 当验证缓冲是用256位加密的吗Salsa20借编码的关键和现时标志 如果,由于应用程序的结果,验证缓冲完全充满“7” - 这意味着提供关键是正确的。 例子:编码的关键与提供关键: 编码提供的密钥的算法非常简单: 保龄球编码(字符* key, BYTE *encoded) { 如果(!密钥|| !encoded) { printf(“无效的缓冲\ n“); 返回假; } size_tlen =strlen.(关键); 如果(len <16){ printf(“无效的关键\ n“); 返回假; } 如果(len >16) len =16; intI,J; I = j =0.; 对于(我=0.j =0.;我<兰;我+ +,+ =2){ 字符k =键(我); 编码[j] = k +'Z.'; 编码[J +1] = K *2; } 编码[j] =0.; 编码[J +1]=0.; 返回真正的; } 查看原始 petya_encoder.cpp 由❤主持GitHub. 有效的密钥对于解密过程非常重要。如果我们提供一个伪造的密钥,并试图通过修改跳转条件将其作为有效的传递,Petya将恢复原始的MBR,但其他数据将无法正确解密,操作系统将无法运行。 当钥匙通过检查时,Petya显示了“解密扇区”的信息和进度。 它完成后,它会要求重新启动计算机。下面是彼佳的最后一个画面,显示出用户终于摆脱这个勒索的: 结论 从结构上看,彼佳是非常先进和典型。良好的品质FUD,以及混淆滴管 - 和勒索的心脏 - 一个小的内核 - 描述了作者在高技能。然而,选择低级别的架构执行一定的局限性,即:代码和无法使用API调用大小小。它使加密困难。这就是为什么由更高层生成的密钥的 - 的Windows可执行文件。该解决方案的效果很好,但是引入了一个弱点,允许恢复密钥(如果我们设法抓住彼佳在第1阶段,关键是消除之前)。此外,作者试图用做了准备Salsa20实现,并做一些细微的改变,以采用16位架构。但是他们没有意识到,改变变量的大小会引发严重的漏洞(详细描述可以在Checkpoint的文章). 大多数勒索软件的作者都很在意用户体验,所以即使非技术人员也能很容易地付款。在这种情况下,用户体验非常糟糕。首先,拒绝进入整个系统不仅对用户是有害的,而且对勒索软件的发布者也是有害的,因为这使得受害者支付赎金更加困难。第二,个人标识符很长,不能从屏幕上复制。把它打错几乎是不可能的。 总体而言,彼佳勒索的作者写道质量好的代码,是,但是 - 错过了目标。在用户态运行勒索软件可能同样或更危险。 附录 其他供应商关于Petya: https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives-第一篇关于Petya勒索软件的文章 https://blog.gdatasoftware.com/2016/03/28226-ransomware-petya-a-technical-review- GData的技术分析 http://blog.trendmicro.com/trendlabs-security-intelligence/petya-crypto-ransomware-overwrites-mbr-lock-users-computers/ http://www.bleepingcomputer.com/news/security/petya-ransomware-skips-the-files-and-encrypts-your-hard-drive-instead/ 读也: http://www.invoke-ir.com/2015/05/ontheforensictrail-part2.html-主引导记录 http://sysforensics.org/2012/06/mbr-malware-analysis/—MBR恶意软件分析 https://socprime.com/en/blog/dismantling-killdisk-reverse-of-the-blackenergy-destructive-component/拆除KillDisk: BlackEnergy破坏性组件的反转(另一个恶意软件攻击硬盘) 这是由Hasherezade,独立的研究员和程序员,在资讯安全的强烈兴趣写一个客户后。她喜欢详细介绍恶意软件,并与社区分享威胁信息。看看她的推特@hasherezade.以及她的个人博客:https://hshrzd.wordpress.com. 分享这篇文章 评论 相关文章 木马 TrickBot增加了新的伎俩,以它的武库:与可信赖的文本篡改 2019年9月3日- TrickBot的最新功能允许它篡改来自Verizon、T-Mobile和Sprint移动运营商的用户的web会话。 继续阅读 没有评论 威胁分析 隐藏的蜜蜂感染链,第一部分:剑龙群 2019年8月15日- Hidden Bee cryptominer具有复杂的多层内部结构,这在网络犯罪工具包中是不寻常的。这就是为什么我们要用一系列的帖子来探索它的元素和在一年的发展过程中所做的更新。 继续阅读 没有评论 恶意软件|威胁分析 永恒彼佳——包裹里又一个被偷的东西? 2017年6月30日—自6月27日以来,我们一直在调查带有类似WannaCry病毒感染的新型Petya-like恶意软件的爆发。从第一天开始,各种相互矛盾的理论开始出现。在这篇文章中,我们将通过逐步比较当前内核和它所基于的内核(Goldeneye Petya)来填补这一空白。 继续阅读 没有评论 恶意软件|威胁分析 LatentBot一块一块的 2017年6月8日—LatentBot是一个用Delphi编写的多模块木马,已知自2013年以来一直存在。最近,我们捕获并剖析了RIG Exploit Kit分发的一个样本。 继续阅读 没有评论 恶意软件|威胁分析 神出鬼没的莫克·特洛伊又回来了 2017年4月21日 - 我们终于得到了我们手中Moker木马(这是在2015年发现)的一个样本。本文将在其能力深潜。 继续阅读 没有评论 关于作者 必威官方登录备用