赞
踩
0x0 背景介绍
随着疫情的缓解,各地企业纷纷复工,而勒索病毒家族也并没有停下他们的脚步。近期深信服安全团队就收到多个地区关于用户主机遭受大面积.C4H勒索病毒入侵的求助,经过安全团队排查分析,确认为GlobeImposter勒索病毒家族的最新变种C4H。
GlobeImposter家族首次出现的时间为2017年5月,随后在2018与2019年出现不同系列的变种,如:以特征字符“.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444”等的“十二生肖”系列,与以“希腊十二主神 + 666”为特征的“十二主神”系列等。攻击者常常通过暴力破解服务器密码,对内网服务器发起扫描并人工投放GlobeImposter勒索病毒进行勒索。
0x1 变种概述
病毒变种版本: C4H.exe
MD5值:3af2e34e2b5e3632c0c99de82ac5a6e4
SHA256值:987dbef97c27a6f1f45417d3d29eafdf9dcc8c7dee0ef659d0bf0e5424a00b8c
本次主要分析的是GlobeImposter的新变种“C*H”系列中的C3H/C4H。该病毒依然使用勒索病毒中常见的RSA+AES加密算法进行加密。
此次变种与18年出现过的版本的不同之处包括但不仅限于以下几点:
1、不同于初始版本需要解密才能获取RSA加密的的相关信息和最后执行的bat脚本,此次变种将这两者直接以明文的形式写在了程序中。
2、在设置自启动的注册表键值中进行了调整,从BrowserUpdateCheck调整为CertificatesCheck。
3、程序执行的过程和步骤顺序进行了调整。
4、程序只有一个可执行可写的.rdata段,与我们常见的PE文件拥有多个段并以.test段为代码段不同,查壳工具会认为有壳。
0x2加密流程
勒索病毒首先拥有一个的RSA公钥(A)。对于当前用户主机,会使用RSA生成一对新的RSA公钥私钥(B)。
其中生成信密钥(B)使用原RSA公钥(A)进行加密后,作为用户ID。
在对系统的文件进行遍历与加密的过程中,对每个文件生成其对应的AES密钥,进行加密。加密文件后,又会将信息与ID通过RSA(B)进行加密并追加在加密文件的末尾。实现勒索。
如果黑客需要解密,只要通过自己的RSA私钥(A),奇热对用户的ID进行解密,就可以得到RSA私钥(B),从而解密文件的末尾得到AES的密钥,再解密出原始文件。
0x3 病毒行为
1、 对主流的文件类型加密并添加后缀”.C4H”
2、 每个目录下生成一个勒索文档Decryption Info.html
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。