股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
警惕!REvil勒索软件突袭MSP提供商(shāng),赎金价值高达7000万美元
发布时间 :2021年07月22日
类型 :勒索软件
分(fēn)享:
事件描述
近日,亚信安(ān)全网络安(ān)全实验室关注到REvil勒索软件团伙在暗网数据泄漏站点上发布了一条消息,声称他(tā)们已于2021年7月2日入侵了MSP提供商(shāng),并表明已有(yǒu)100万个系统受到勒索软件的影响,该团伙要求支付7000万美元的BTC,才能(néng)提供解密器。此事件引起安(ān)全厂商(shāng)关注,REvil勒索再次成為(wèi)焦点,亚信安(ān)全已截获到相关样本,并将其命名(míng)為(wèi):Trojan.Win32.SODINSTALL.YABGC。
攻击流程
病毒详细分(fēn)析
释放恶意载荷
该样本是一个Dropper,其包含MODLIS和SOFTIS两个资源节。程序运行后,会搜索这两个资源节,然后这两个资源分(fēn)别释放如下文(wén)件:
C:\Windows\mpsvc.dll
C:\Users\USER\AppData\Local\Temp\mpsvc.dll(黑文(wén)件)
C:\Windows\MsMpEng.exe
C:\Users\USER\AppData\Local\Temp\MsMpEng.exe(白文(wén)件)
然后运行C:\Windows\MsMpEng.exe。
加载dll并调用(yòng)其中(zhōng)的恶意函数
MsMpEng.exe加载mpsvc.dll并调用(yòng)mpsvc.dll中(zhōng)的恶意函数ServiceCrtMain。
动态解密勒索代码并跳转执行
经过一系列内存解密操作(zuò)后最终开始执行逻辑。
解密配置
创建互斥體(tǐ)
Global\422BE415-4098-BB75-3BD9-3E62EE8E8423
清空回收站
调用(yòng)函数shell32.SHEmptyRecycleBinW清空回收站。
提权
使用(yòng)函数ntdll.RtlAdjusiPrivilege获得调试权限。
文(wén)件加密
1.使用(yòng)IO完成端口
勒索程序根据系统CPU创建对应数量的加密線(xiàn)程,然后绑定IO完成端口的形式加密文(wén)件,提高了加密文(wén)件的速度。
2.加密算法
勒索程序使用(yòng)了一套复杂的加密系统(Curve25519椭圆曲線(xiàn)算法(DECH),AES算法和Salsa20),使得文(wén)件很(hěn)难被解密。经过分(fēn)析,我们找到了Salsa20加密所使用(yòng)的常量(expand 32-byte kexpand 16-byte k)。
AES算法轮操作(zuò)函数
常量:121665,我们通过google搜索该常量发现,Curve25519椭圆曲線(xiàn)算法使用(yòng)该常量。
在Github上找到的Curve25519椭圆曲線(xiàn)算法实现代码里同样找到该常量。
首先DECH算法生成两组密钥对,Session,File:
Sesson_Pulic 、Session_Privite ;
File_Public、File_Privite。
使用(yòng)File_Privite和Session_Public通过DECH算法生成共享密钥File_Encryption,然后将共享密钥File_Encryption作(zuò)為(wèi)Salsa20的密钥用(yòng)于文(wén)件加密。
再次通过DECH算法生成一个密钥对,R_public和R_privite。使用(yòng)攻击者的公(gōng)钥Attacher_Public和R_Privite生成共享密钥S。
使用(yòng)共享密钥S作(zuò)為(wèi)AES的密钥对Session_Privite进行加密生成Encrypted_Key,将Encrypted_Key,R_public,File_Public写到文(wén)件尾部。
文(wén)件加密完成后丢弃File_Encryption、Session_Public、 File_Privite、 R_Privite、Session_Privite和 S。
其中(zhōng)Attacher_Public為(wèi):
base64编码形式為(wèi):
9/AgyLvWEviWbvuayR2k0Q140e9LZJ5hwrmto/zCyFM=
不能(néng)对加密文(wén)件进行解密
由于Attacher_Privite未知,无法导出共享密钥S;没有(yǒu)共享密钥S,就无法导出Session_Privite;没有(yǒu)Session_Privite,就无法得到用(yòng)于文(wén)件加密的File_Encryption。
加密共享
更改桌面背景
文(wén)件加密完成后,使用(yòng)GDI32库函数绘制勒索桌面背景。
重启删除白文(wén)件
亚信安(ān)全产(chǎn)品解决方案
亚信安(ān)全病毒码版本16.851.60,云病毒码版本16.851.71,全球码版本16.851.00 已经可(kě)以检测,请用(yòng)户及时升级病毒码版本;
亚信安(ān)全DDAn沙盒平台已经可(kě)以检测;
亚信安(ān)全产(chǎn)品行為(wèi)监控功能(néng)可(kě)以拦截该勒索病毒,建议用(yòng)户开启行為(wèi)监控功能(néng),有(yǒu)效拦截已知和未知勒索病毒;
安(ān)全建议
打开系统自动更新(xīn),并检测更新(xīn)进行安(ān)装(zhuāng);
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中(zhōng)包含的链接;
请到正规网站或者应用(yòng)商(shāng)店(diàn)下载程序;
采用(yòng)高强度的密码,避免使用(yòng)弱口令密码,并定期更换密码;
尽量关闭不必要的端口;
尽量关闭不必要的网络共享;
请注意备份重要文(wén)档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用(yòng)两种不同格式保存,并将副本放在异地存储。
IOC:
SHA-256 :D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E
分(fēn)享到微信
X