网络资源也不放过,Clop勒索这股“韩流”随冬而至! - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

网络资源也不放过,Clop勒索这股“韩流”随冬而至!

千里目安全实验室 趋势 2021-11-10 10:24:40
203644
收藏

导语:近日,深信服安服应急响应中心联合终端安全团队捕获到了一例CLOP勒索病毒新变种。CLOP勒索病毒最早出现于2019年初,其主要活动区域在韩国,但国内也有企业遭到该勒索病毒的攻击。

背景概述

近日,深信服安服应急响应中心联合终端安全团队捕获到了一例CLOP勒索病毒新变种。CLOP勒索病毒最早出现于2019年初,其主要活动区域在韩国,但国内也有企业遭到该勒索病毒的攻击。

点击查看2019年Clop样本分析:《冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

Clop勒索病毒具有很强的反检测机制,本次捕获的变种样本为了绕过沙箱,病毒只以服务的方式运行进行全盘加密,另外比较特别的是该变种并不会修改加密文件的后缀,而是创建一个同名文件加上”.C_L_O_P”后缀用于保存密钥。

微信截图_20211028204106.png

除此之外,Clop勒索的勒索信内容也做了改变,从对受害者定制的勒索信息中可以看到,攻击者除了对文件进行加密勒索,同时还会窃取敏感数据,以威胁受害者支付赎金。

加密现象如下:

图片1.png

攻击过程

1.通过RDP爆破的方式登录运维人员PC;

2.对运维人员PC植入TinyMet后门进行维权及数据窃取;

3.获取域控密码后,通过域控对内网主机远程拷贝勒索病毒文件并创建对应服务,实现勒索攻击。

图片2.png

样本分析

为了避免被杀软查杀,病毒使用Delphi外壳程序进行了封装:

图片3.png

病毒运行后,其会读取资源ff1并将其解密:

图片4.png

ff1资源内容如下所示:

图片5.png

解密出的内容为系统API结构体+勒索病毒payload+装载payload的shellcode:

图片6.png

解密完成后返回到装载payload的shellcode:

图片7.png

装载勒索病毒payload:

图片8.png

执行payload进行勒索行为:

图片9.png

加密流程

该病毒不仅会加密本地磁盘文件,还会加密网络资源。遍历磁盘,排除掉系统重要文件,并且比较后缀名和文件大小,只有符合条件的文件才会进行加密。

针对每个待加密的文件,病毒随机生成117字节的密钥,使用RSA对该密钥进行加密并存放在.C_L_O_P后缀名的文件中,使用RC4算法对文件内容进行加密,并且仅对文件偏移0x4000之后的内容进行加密。

病毒根据不同的启动参数运行不同的函数进行加密,且病毒需要注册成服务形式才会执行全盘加密:

图片10.png

枚举网络资源,循环对网络资源进行加密

图片11.png

遍历本地磁盘,对本地磁盘文件进行加密

图片12.png

初始化RSA公钥,后边会使用RSA加密随机生成的RC4密钥

图片13.png

判断磁盘,如果是C盘,病毒会额外的加多一个判断函数,获取文件的校验值,判断文件是否属于系统重要文件

图片14.png

判断并跳过以下文件后缀名不进行加密:

.ocx、.dll、.exe、.sys、.lnk、.ico、.ini、.msi、.chm、.hlf、.lng、.ttf、.cmd、.bat、

图片15.png

获取文件名的校验值,重要的文件不参与加密

图片16.png

打开文件,如果打开文件失败重启管理器再次尝试打开文件,避免无法加密文件

图片17.png

比较文件大小,跳过文件大小小于17kb的文件

图片18.png

获取117字节的随机密钥,如果获取失败,则使用默认的密钥。采用RSA加密随机密钥,并存放至.C_L_O_P文件中

图片19.png

获取文件偏移0x4000以外的内容,并使用RC4算法对内容进行加密

图片20.png

在每个文件夹下写入勒索信息

图片21.png

日常加固

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务