回归最本质的信息安全

;

研究分析GandCrab勒索软件

2018年2月8日发布

71,752
0
0

导语:网络安全公司LMNTRIX的专家在暗网俄罗斯黑客社区发现了一种名为GandCrab的新型勒索软件,并对其进行了分析。

 

在过去的三天里,LMNTRIX Labs一直在追踪GandCrab勒索软件,该样本通过RIG漏洞传播。我们分析的样本为:5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011,文件大小129KB。

 

感染


1Ransom_GANDCRAB 检测

文件版本和资源如下所示:

 

2:资源——文件图标

 

3:勒索软件样本版本信息

加密
在调试器中加载样本以进一步研究恶意软件的行为:

00401424|。FF15 54F04000 CALL DWORD PTR DS:[<&KERNEL32.GlobalAlloc>];\GlobalAlloc

GlobalAlloc函数用于内存管理,主要用于解密或解码文件中的代码。


4:解码函数

遍历上面快照中突出显示的子进程:Address4011F1。执行所有的指令,到达如下位置:


5:跳到解密代码

进一步调试代码之后,我们发现这个文件包含了一些反调试技巧:

1.png 

上面的代码都紧紧围绕反调试。我们还在代码中看到多个与网络相关的部件:

2.png

这些指令有选择性地调用网络连接函数。在分析过程中,我们观察到恶意软件联系以下域名:

ipv4bot.whatismyipaddress.com ——用来检测网络的IP地址

a.dnspod.com ——我们确认其在Virustotal的Fortinet AV中标记为恶意软件。

注册表项和文件创建
父文件的副本释放在 %appdata%\Microsoft t文件夹中,文件名随机。

3.png

并在创建的注册表项中定位相同的文件: 

4.png

为找到文件名和注册表键值的随机性,我们在执行文件之前恢复了干净状态。 使用<random name.exe>创建副本文件。 Runonce键的值也是随机生成的。 下面是一个例子: 

5.png

随机值:

6.png

在%appdata%文件夹中,恶意软件将释放名为GDCB-DECRYPT.txt的文本文件。这包含恶意软件的赎金便条,指示用户下载Tor浏览器后购买私钥: 


 

6GDGB-DECRYPT.txt

IOC

文件哈希:
SHA 256: 5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011
恶意域名:
a.dnspod.com
TOR 链接:
hxxp://gdcbghvjyqy7jclk.onion.top/259a4fdc3766943
hxxp:// gdcbghvjyqy7jclk.onion.casa/259a4fdc3766943
hxxp://gdcbghvjyqy7jclk.onion.guide/259a4fdc3766943

勒索软件添加的文件扩展名:
.GDCB
注册表:
键: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE"  
值: "Random value name on each execution"

物理位置:

%appdata% \Microsoft文件夹中,文件名随机

结论
建议用户应用IOC详细信息设置警报以防止感染。另外,用户在收到不明用户的附件时应时刻谨慎。

本文翻译自:https://www.lmntrix.com/Lab/MobileLab_info.php?id=94如若转载,请注明原文地址: http://www.4hou.com/technology/10271.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

TRex

这个人很懒,什么也没留下

发私信

发表评论