彼佳ransomware正迅速成为一个家喻户晓的名字,在典型的网络犯罪方式,模仿家庭开始出现。
在这篇文章中,我们分析的好处“malware-in-development”,可以观察到其增长在未来几周。的ransomware被称为Satana(魔鬼/撒旦在意大利)和类似于彼佳和米包,Satana在两种模式工作。
第一个模式像多么凄厉,滴管(这是一个典型的PE文件)写入感染磁盘底层模块的开始是一个小定制内核引导装载程序。
第二个模式像典型ransomware和加密文件一个接一个(就像米)。
彼佳和米包相反,这些模式不是作为替代方案,但都是利用,一个接一个,感染系统。
分析样品
- 46 bfd4f1d581d7c0121d2b19a005d3df——主要样本
- d236fcc8789f94f085137058311e848b——打开
- 51406195 e5ce1633eb6f3c5faf66df07-引导装载程序+“内核”
- d236fcc8789f94f085137058311e848b——打开
行为分析
被执行后,样品消失和安装在%临时%的副本在一个随机的名字:
开始执行(如果从一个普通用户账户)的应用程序触发UAC通知重复执行,直到用户点击“是”:
一旦执行,恶意软件将恶意代码写入磁盘的开始(低级攻击)。然后它收益与加密文件。
联系人数据选择一个特定的客户端也保存在Windows注册表:
有个好奇的事情这个ransomware是宣布所做的一切:
加密文件:包括进展
这可能表明,产品仍处于开发的早期阶段。我们遇到最有可能是实验的样本。通常恶意软件作者不想离开调试代码的最终产品。
低级攻击
默默地Satana安装本身,不把任何BSOD提示(相反彼佳),但只是写恶意模块的磁盘和耐心地等待重启。
系统重新引导之后,它显示了一个屏幕赎金的注意:
与彼佳,内核是不能执行任何底层加密。
高级攻击(如典型ransomware)
恶意软件加密文件一个接一个,每个文件夹滴赎金注意:satana ! . txt。所有加密的文件重命名为:< email_address > __ < original_name >(电子邮件是硬编码的池中随机选择):
注意:示例
注意:生成的Bitcon钱包是无效的。它可以是一个bug或症状,这个示例不是为了被释放。
所有文件都是相同的唯一密钥加密(相同的输入产生相同的输出)。
比较未加密和加密文件的内容:
可见和常规模式表明,加密算法是一个块密码或自定义基于XOR的。
内部
装在一个滴管FUD /地穴。战胜这一层后,我们可以看到一个有效载荷,是另一个可执行文件。作者让许多字符串简化他们的意图明确和分析:
调试字符串打印慷慨的恶意软件的执行期间,赠送有趣的信息:
这个有效载荷包含所有功能的必要的感染过程。
攻击是什么?
在第一个(低级)模式,只有MBR(并存储在部门6)加密。恢复原始MBR从备份允许系统再次启动。
在第二模式,Satana加密本地磁盘上的文件,以及在网络地图上未标明的股票。
攻击的扩展:
. bak . doc . jpg .jpe . txt .tex .dbf .db xls .cry . xml .vsd . pdf。csv . bmp .tif .1cd .tax gif .gbr . png . mdb .mdf .sdf .dwg .dxf .dgn .stl .gho .v2i 3 ds .ma ppt .acc .vpd .odt。ods . rar . pas .asm . zip解压到. cpp
它删除影子备份部署VSSADMIN。EXE与参数:
删除阴影/所有/安静
加密
Satana文件内容分为32个字节长块,每个块分别是加密的。这就是为什么原始文件的模式反映在加密的内容。
之前执行加密,ransomware准备随机缓冲区。作为一个它所使用的随机数发生器RTDSC(读时间戳计数器)——函数的输出是由加工和完整的关键。
这个缓冲区的内容转换为ASCII字(字):
关键的例子:
ASCII“59 e18b50b822020294a8ea0a4154c7597847b3a6359a08194f4865d804bd7e6”
关键一代只发生一次在一个单一的运行(所有文件缓冲区一样)。
这个缓冲区的内容文件加密期间使用的是:
比较以上缓冲区的内容和打印缓冲区的内容(思想尾数法):
0040年f12850 8 b E1 5902年02 22 B80 94 EA A859 C7 54 41 0040 f138A6 B3 47 7819日08年9 355 d 86 F4 04E6 D7 4 b 80
ASCII表示:
59 e18b50B822020294年a8ea0a4154年c7597847年b3a6359年a08194 f4865d804年bd7e6
大量文件的xor(双字大小的单位)的前4 DWORD随机缓冲区。然后传递给另一个密码(crypt2):
Crypt2是一个块密码——(可能稍微修改)256位AES在央行模式。再次过程相同的4个dword xor——使用生成的随机密钥。
网络通信
示例包括一个硬编码的C&C地址和客户端使用它发送信息:
它还发送随机生成的密钥用于加密过程。公布数据的例子:
id = 7代码= 102 sdata = 6.1.7601 0 1 TESTMACHINE试验机0名= mzbfevkz。exe md5 =59 e18b50b822020294a8ea0a4154c7597847b3a6359a08194f4865d804bd7e6&dlen = 7 ea61278dfbad65ae31e707ffe019711
这似乎是唯一的方式恶意软件商店这个关键。所以,尽管它可以执行加密离线,没有连接到C&C这个密钥丢失。如果这个观察是正确的,这意味着一个严重的设计缺陷。因此,即使受害者偿还可能不会得到他们的文件如果他们(或C&C)离线加密发生时。
执行流程
示例遵循几个执行路径。开始时,它会检查它是否已经部署与任何参数。
如果不是这样,它可以安装并部署了版本——给GUID和原来的路径作为运行时参数。它还检查如果是部署与管理权限,使用函数setupapi.IsUserAdmin。
如果恶意软件是一个帐户下运行与管理权限,只是再次运行样例,但这一次与一个论点——使用一个命令开放。否则,它执行的论点runas尝试并获得恶意软件的用户提供管理员权限:
一旦发生这种情况,UAC通知可能会弹出。然而,由于执行在循环中执行,选择“否”只会让UAC提示再次出现。作者将这一特性称为“AdminFlood”:
Satana部署时参数,验证,删除原样品和收益与感染。
GUID的MD5和作为一个独特的硬件ID,提到的赎金。例子:
MD5 (“{e29ac6c0 - 7037 - 11 - de - 816 d - 806 e6f6e6963}”) - > 1278 ea6 DFBA D65A E31E 707 f FE01 9711
首先,Satana下降%临时%的赎金的纸条,然后读取到内存和贴在这一部分是写在磁盘的开始。然后它感染磁盘底层代码。低于- Satana打开硬盘:
彼佳相反,执行低级模式不是一个选择高级模式。无论如何,如果编写可引导代码成功或失败,程序继续标准类型的感染。
首先,它从磁盘删除影子复制然后部署一个新线程,用于加密文件的受害者。
列举磁盘:
这是普遍ransomware删除样本成功执行后下降。通常,他们使用小批处理脚本实现这一目标。但Satana地做事,为此注入模块到另一个过程。
首先,远程过程——rundll32。exe -创建和分配新的内存区域的上下文。这时,一个小的引导是写在记忆:
编写代码的下一部分完全后:
注入代码的执行启动引导程序的添加内存页面的开始。对于部署添加代码的目的,恶意软件使用的函数QueueUserAPC:
接下来,远程线程恢复。下面,我们可以看到里面所执行的代码rundll32.exe:
低级代码
Satana,就像多么凄厉,覆盖磁盘开始它自己的代码。在这ransomware低水平的部分看起来简单得多。
Satana引导装载程序:
引导装载程序读取第一部门(MBR)拷贝到内存地址:0 x600-0x800。然后,执行deobfuscation代码(从0 x62c到0 x7fb抵消)使用XOR和一个值存储在地址0 x7fc。在上述情况下,该值为0 x39 (ASCII“9”):
解密后,执行重定向到显示代码:
恶意软件捕获从键盘上输入:
然后计算校验和基于键盘输入,并将其存储在内存0 x2900。它与另一个校验和校验和的比较。但没有进一步使用这些数据。相反,它导致无限循环:
额外的代码显示一个从未使用过密码提示,根据这个和其他的观察,似乎明显的代码是没有完成,作者可能是计划在未来的进一步发展。
结论
Satana似乎ransomware处于早期发展阶段。它显示一些有趣的特性,但也包含缺陷。低级攻击代码是未完成的,但作者表现出兴趣发展产品在这个方向,我们可以预见,在未来的版本将会改善。我们不要期望这个恶意软件还会大规模分布式——这是一项正在进行中的工作,但我们现在观察到的是可能要额外的威胁的基础。
我们将密切关注Satana及其演变和更新你。
Hasherezade写的这篇文章,一个独立的研究人员和程序员强大兴趣的信息安全。她喜欢在细节恶意软件和分享与社区的威胁信息。检查她的Twitter上的@hasherezade和她的个人博客:https://hshrzd.wordpress.com。
评论