以Linux系统为目标:分析新型Golang语言勒索软件

41yf1sh 勒索软件 2019年10月17日发布
Favorite收藏

导语:在本文中,我将分析一个新发现的Golang勒索软件,该软件主要针对Linux系统发动攻击。

0x00 概述

在过去的两个月中,我一直在研究使用Golang编写的逆向软件,并对其进行逆向工程。Go语言,也成为Golang,是Google设计的一种静态类型的、已编译的编程语言,目前在恶意软件开发社区中正在变得越来越流行。在本文中,我将分析一个新发现的Golang勒索软件,该软件主要针对Linux系统发动攻击。

0x01 Go二进制样本分析

我们所分析的样本是已经stripped的ELF可执行文件。Stripped后的可执行文件会使逆向工作变得更加困难,因为我们还需要做一些额外的工作,来还原stripped后的二进制文件中的符号。但幸运的是,有一个redress工具可以为我们提供帮助。Redress软件是用于分析使用Go编译器编译的、stripped后的Go二进制文件的工具,该软件从二进制文件中提取数据,然后将其用于重建符号,并进行分析。

下面是使用参数“-src”分析此样本的输出:

image.png

如上图所示,我们可以看到该恶意软件的源代码包含三个Go文件,可以找到所有已经实现的功能和对应的代码行号。通过某些功能的名称,我们可以猜测该恶意软件应该属于勒索软件。但是,根据源代码的行数仅仅在300左右,我们判断这种勒索软件并不复杂,可能处于刚刚开发的阶段。

接下来,我们在调试器中进行动态调试。在这里,我使用Radare2作为调试器。Radare2能够通过发出分析命令来分析stripped后的Go二进制文件,并还原符号。这也就是我之所以选择Radare2作为该项目的调试器,而没有选择Linux中GDB的原因。

0x02 Go二进制文件的动态分析

我们在Radare2中发出命令“aaa”,以执行自动分析,在下图中,我们可以看到Radare2很好地还原并识别了函数名和符号名。使用该工具,确实能有效帮助我们调试了Go二进制文件。

使用Radare2还原的函数名称和符号:

image.png

如我们所见,函数init()在主函数之前执行。函数check()在函数init()中调用。在函数check()中,恶意软件首先通过向hxxps://ipapi.co/json/发送一个HTTP请求,来获取受感染主机的位置信息。然后,检查该恶意软件是否在特定国家运行,如果在特定国家范围内,则会自动停止运行。这些国家包括:白俄罗斯(BY)、俄罗斯(RU)和乌克兰(UA)。

过滤白俄罗斯(BY)、俄罗斯(RU)和乌克兰(UA):

3.png

在main()函数中,首先删除Go二进制文件。随后,调用函数randSeq()生成一个随机AES密钥,其大小为0x20字节,如下图所示。

生成随机AES密钥:

4.png

接下来,将调用函数makesecret(),该函数用于使用以二进制形式硬编码的RSA公钥来加密AES密钥。在该函数中,会调用函数EncryptPKCS1v15,使用RSA加密和PKCS#1 v1.5中的填充方案(Padding Scheme)对特定的AES密钥进行加密。

Go二进制文件中的硬编码RSA公钥:

5.png

下面是RSA加密后的数据。

使用RSA加密后的加密AES密钥:

6.png

接下来,它在Golang包encoding/base64中调用函数EncodeToString,以使用Base64算法对先前加密的数据进行编码。

使用Base64编码的加密AES密钥:

7.png

然后,它将为解密的README文件形成一个缓冲区,如下图所示。

解密的README文件的缓冲区:

8.png

我们可以看到,加密的AES密钥已经使用Base64编码写入解密的自述文件(readme)中。

在勒索软件加密文件之前,它会通过发出命令“service stop [pname]”或“systemctl stop [pname]”来关闭以下进程列表。

要停止的服务列表:

9.png

在该程序尝试停止apache2.service时,会弹出一个标题为“需要身份验证”(Authentication Requird)的对话框,提示用户输入系统密码以完成此操作。

apache2.service身份验证对话框提示:

10.png

最后,通过在Golang包“path/filepath”中调用函数Walk(root string, walkFn WalkFunc),恶意软件开始遍历根目录“/”,并开始对文件进行加密。

遍历根目录并加密文件:

11.png

该恶意软件还包含用于加密的目录黑名单,具体如下。

用于加密的目录黑名单:

12.png

该恶意软件使用AES-256-CFB算法对文件进行加密,加密文件的命名规则是原始文件名+“.encrypted”后缀扩展名。用于解密的自述文件(README)如下图所示。

用于解密的README文件:

13.png

函数EncFile()用于加密文件。它首先获取需要加密的文件的大小,如果文件大小小于0x986880(1000000)字节,则会使用AES-256-CFB算法加密所有文件数据。否则,将会读取数据的前0x986880(1000000)字节并将其加密,然后将原始文件的剩余数据复制到加密文件的末尾。

检查要加密的文件的大小:

14.png

如果文件大于0x989680(以字节为单位),经过加密后的数据如下所示:

15.png

0x03 总结

根据我们的分析,可以看到这种勒索软件并不复杂,可能处于初始开发阶段。我们应该意识到,越来越多的攻击者正在使用Golang语言开发恶意软件,我们也将不断监测并分析这类以新型编程语言编写的恶意软件。

0x04 防御方案

FortiGuard AntiVirus服务已经将该恶意ELF文件检测为“ELF/Cryptor.B!tr”。

0x05 参考信息

SHA-256:50470f94e7d65b50bf00d7416a9634d9e4141c5109a78f5769e4204906ab5f0b

IoC:fullofdeep<at>protonmail.com

REDRESS:https://go-re.tk/redress/

Radare2:https://rada.re/r/

本文翻译自:https://www.fortinet.com/blog/threat-research/new-golang-ransomware-targeting-linux-systems.html如若转载,请注明原文地址: https://www.4hou.com/typ/20774.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论