Goldeneye Ransomware - Petya / Mischa Combo Rebranded -必威平台APP必威官方登录备用 Malwarebytes Labs |必威平台APP必威官方登录备用Malwarebytes Labs.

发布：2016年12月15日经过必威官方登录备用
最近更新时间：7月19日，2021年

从2016年3月起，我们已经观察到了一个有趣的低级赎金软件，Petya的演变 - 您可以阅读它这里．这第二版（绿色）Petya与另一个勒索软件相结合，包装在同一个滴管 -米克．后者被部署为替代有效负载:以防在没有管理员特权的情况下运行投递器，低级别攻击是不可能的。这种组合正在慢慢走向成熟——作者修复了允许对两个最早版本进行解密的bug。现在，我们正面临着第四个版本的爆发——这次是用了一个新的名字——黄金眼，恰当地说，是一个新的黄金主题。

在这篇文章中，我们将看看内部，以回答是否任何内部变化遵循外部更改的问题。

分析样品

E068EE33B5E9CB317C1AF7CECC1BACB5-正本样品(包装)
- 08B079609C2A3A4DEB4F11CF373F9278- core.dll（dropper）//更新：用固定转储替换
  - 0CD94BAA2DCCC0E7C2008B7948CEBFE3.- 提升_x86.dll.
  - 54FB6DBAD73EEE5D8638C0869C35ED8F.- elevate_x64.dll.
  - E5A2CC00D1AD8D409576BC6D24A346BD- Petya Golden（从磁盘转储）

435076F9C8900CBDFC48A15713B1C431- Goldeneye Decrypter（原版）

// 特别感谢@Procrash.

分配

目前，Goldeneye是通过网络钓鱼电子邮件分发，旨在德国的竞选活动。在Petya赎金瓶的第一版中观察到相同的分布模式。德国似乎是一个熟悉的环境勒索制造器作者（可能是德国母语人士）和他的测试活动总是在这个国家发布。但是，由于其他罪犯的联盟计划即将发布，威胁可能会再次成为全球性。

行为分析

运行后，恶意软件在％AppData％目录中安装其副本，以便在系统中找到的随机应用程序的名称：

Golden_Dropped.

已安装的副本自动执行并使用恶意操作进行。

在过去，Petya/Mischa的投掷器会触发UAC弹出窗口。如果用户同意以管理员身份运行示例，他/她就会受到低级有效负载Petya的攻击。否则，米沙就会被派去。

在当前情况下，攻击的模型是不同的，看起来更像是一个案例Satana Ransomware.．

首先，部署高级攻击，文件逐个加密。然后，恶意软件尝试绕过UAC并通过自己的特权提升其特权，以便进行第二次攻击，在低级：在磁盘开头安装Petya。如果UAC设置为默认值或更低，则旁路静默地工作。如果UAC设置为MAX的情况下，以下窗口重复弹出，直到用户接受高程：

UAC_HIGHEST.

使用的旁路技术适用于-32位和64位版本的Windows，直到Windows 8.1。在Windows 10上，即使UAC设置为默认为默认，将显示弹出窗口 - 但不显示感染计划的真实名称，即

win10_petya.

高级别部分（前误米）

在攻击的第一阶段，文件逐个加密。恶意软件在TXT格式下删除以下注释：

米奇 -

加密的文件被添加随机扩展名:

加密_files.

如果我们有两个具有相同明文的文件，则转换为两个不同的密文 - 表示每个文件用新密钥或初始化向量加密。高熵表明CBC模式中的AES。

可视化-原始文件vs加密的一个:

enc_square1 enc_square1-bmp-yc5pdbhp

低级部分（前Petya）

加密文件后部署了第二阶段。第二个有效载荷的行为与先前版本的Petya中的行为不同。部署恶意软件后，系统崩溃并以假CHKDSK开头。它假装要检查磁盘以获取错误，但实际上它使用Salsa20执行主文件表加密。完成后，我们正面临熟悉的闪烁骷髅 - 这次以黄/金色：

Yellow1.

按下键后，我们可以看到屏幕上的ransom注意：

黄色2.

受害者的页面

在每个版本上，所有卷轴器都有一致的主题。这次没有什么不同。受害者的页面，托管在基于Tor的网站上的主题非常相似，如赎金软件本身：

受害者_page.

在支付赎金后，受害者提供了一个密钥来解密第一个（BootLocker）阶段和解密器以恢复文件：

解压缩者

DECRYPTER需要具有适当的钥匙才能工作：

password_dec.

联盟计划

过去，Petya / Mischa Combo作为RAAS（RansomWare作为服务）提供。在布局中的更改之后，与恶意软件后面的刑事关联的Twitter帐户也更改了配置文件的主题，并更新了有关联盟计划状态的信息：

Janus.

它证实了Goldeneye背后的演员以及重新分发的方法并没有改变。

里面

此勒索软件非常复杂，具有我们以前的文章中已描述的多个部分。这就是为什么，在这个中，我们只关注与前一版相比的差异。让我们从core.dll.，这是我们在解压缩第一层后得到的PE文件。

core.dll.

就像在以前的版本中一样，主应用程序是DLL（core.dll.），由各种加密器包装并由已知的技术加载反射加载程序．

core_dll.

在过去的Petya和Mischa是由此DLL提供的两个单独的模块。DEPTPER通过尝试使用管理员权限运行样本来决定其中哪一个部署 - 没有使用UAC旁路，只使用社交工程。但是，现在，它配备了两个DLL，它执行UAC旁路 - 一个有32位，另一个用于64位VAR的Windows。它决定哪一个部署，基于检测到的架构。

该模块的内部逻辑更改了一点。没有mischa.dll.分开。相反，这是core.dll.涵盖加密文件的功能以及之后安装磁盘锁锁。有效载荷是XOR加密并存储在PE文件的最后一部分中（.xxxx）：

core_dll.

部分。XXXX.包含：

低级部分（前Petya）
32位DLL（elevate_x86.dll）
64位DLL（elevate_x64.dll）

（用于UAC旁路的两个DLL基于类似于所述的技术这里。）

在第一次运行时，核心模块将自己的副本复制到%APPDATA%中，并应用一些技巧来融入环境:

随机选择应用程序名称，从系统文件夹中的各种应用程序中选择
将自己的时间戳更改为kernel32.dll的时间戳（所谓的“时间戳”技术）。
添加到其资源中已安装的名称下的真正Microsoft应用程序的资源：

add_resource.

结果：

欺骗_res.

其中一些技巧提醒我们Cerber赎金制品他们可能受到它的启发。

然后，Dropper部署已安装的副本并使用加密进行。

文件加密器（前烟草）

文件加密器功能现在在内部实现core.dll.．

它的行为与前者勒克斯卫生厂类似 - 唯一的区别是现在它在低级攻击之前使用，而不是替代。

攻击的目标

文件被以下扩展名攻击:

DOC DOCX DOCM ODT ODS ODP ODF ODC ODM ODB XLSM XLSB XLK XLS XLSX PPS PPT PPTM PPTX酒馆EPUB PDF格式JPG jpegB RTF TXT FRM WDB LDF MYI VMX XML XSL WPS CMF VBS ACCDB CDR SVG的conf CFG配置WB2味精AZW azw1 azw3 azw4点燃apnxMOBI P12 P7B P7C PFX PEM CER KEY DER MDB HTM HTML类Java CS ASP ASPX CGI H CPP PHP JSP BAK DAT PST EML XPS SQLLITE SQL JS JAR PY WPD CRT CSV PRF CNF INDD编号页面PO DCU PAS DFM目录PBK YML DTD RLL CERTP12 Cat Inf Mui Props IDL结果LocalStorage OST默认json db sqlite bat x3f srw pef raf orf nrw nef mrw mef kdc dcr Crw EIP FFF IIQ K25 Crwl Bay SR2 Ari SRF ARW CR2 RWL RW2 R3D 3FR AI EPS PDD DNG DXF DWG PSD PSPNG JPE BMP GIF TIFF GFX JGE TGA JFIF EMF 3DM 3DS MAX OBJ A2C DDSPSPIMAGE YUV 3G2 3GP ASF ASX MPG MPEG AVI MOV FLV WMA WMV ogg SWF $ PTX APE AIF WAV RA M3U电影MP1 MP2 MPV2 MP4V MP1 MPV2 RPF VLC M4AAAC AA AA3 AMR MKV DVD MTS QT VOB 3GA TS M4V RM SRT AEPX CAMPROJ DASH ZIP RAR GZIP VMDK MDF ISO BIN CUE DBF ERF DMG TOAST VCD CCD D.ISC NRG NRI CDI

加密

文件在块中读取，每个都是1024字节长。然后，它们由AES的内置实现处理。

read_encrypt.

分析所使用的加密算法的最简单方法是通过颠倒由勒索制造器作者提供的原始解密器，给赎金的受害者。解密器是用.NET编写的，而不是混淆。

查看Decrypter代码，我们可以确认每个文件使用CBC模式中的AES加密。AES键长32个字节，是从密码的SHA512哈希开始时所拍摄的。

Aes_Key.

初始化向量对于每个文件都是随机的，并且它存储在其内容中：

Decompiled1.

磁盘储物柜（前Petya）

Goldeneye Ransomware的这一部分是在磁盘开始的，与操作系统无关。它由引导加载程序和一个小型16位内核组成。在第一景观中，我们可以怀疑，这是重构的只不过是重构的Petya。这就是为什么，为了简单起见，我将把这个部分称为Petya Goldeneye。

实际上，将当前版本与Petya 3进行比较（描述这里）我们可以看出，加密算法和码码没有改变。然而，我们可以发现一些差异。

加密

所有版本的Petya使用Salsa20加密MFT。在当前版本中，Salsa20的实施是相同的前一个版本．

看看合成截图下面 - Petya Goldeneye VS Petya 3：

没变化

我们可以安全地假设，就像过去的情况一样，SALSA20已经正确实施 - 手段，这款版本的Petya不被外部工具解密。

代码中发生了什么变化？

虽然代码的主要部分没有改变，但我们仍然可以注意到一些重构发生了一些重构：

最重要的变化是关于应用加密/解密的方式。作者添加了更多的检查并简化了解密功能。然而，这些变化是提高代码质量而不是引入一些新想法。

布局

就像前面的例子一样，Petya的代码写在磁盘的开头—但是，现在的布局更紧凑了。Petya内核的代码在MBR之后开始，没有任何填充。因此，其他重要领域也发生了转移。例如，存储随机salsa键*的数据扇区现在被放置在扇区32:

扇区_32.

*就像在以前的所有版本中一样，使用后删除此键。阅读更多关于完整程序的更多信息这里．

总结，所有扇区都朝向磁盘的开头转移。

数据部门：

Petya3：54
Petya Goldeneye：32

核查部门：

Petya3：55
Petya Goldeneye：33

原MBR (xered 7)

Petya3：56
Petya Goldeneye：34

结论

Goldeneye Ransomware是Petya / Mischa Bundle开发的另一步。重新设计的滴管以一种新的方式耦合在一起，这使得它变得更加危险。在当前阶段，产品看起来不受外部工具的解密。我们强烈建议对开业电子邮件附件非常警惕，因为这仍然是这个赎金软件的主要分配方式。

在测试期间，Malwarebytes必威平台APP已被证明可以防止与Goldeneye网络钓鱼电子邮件附加的恶意有效载荷：

thumbnail__golden_ey2-jpg.

这是由Hasherezade，独立的研究员和程序员撰写的客座帖子，具有强烈的Infosec。她喜欢详细说明恶意软件并与社区分享威胁信息。在Twitter上检查她hasherezade.和她的个人博客：https://hshrzd.wordpress.com.．

Malwarebytes P必威平台APPremium的免费试用

Goldeneye Ransomware - Petya / Mischa Combo Reblanded