MedusaLocker勒索病毒Debug版本洩露，看我如何高效檢測防禦

前言

近日，一個叫MedusaLocker的勒索病毒在國外安全圈被炒的沸沸揚揚，原因是該病毒的多個版本被洩露了出來，其中包括了黑客開發過程中的Debug版本。近期，深信服藉助強大的威脅情報來源，觀察到菲律賓等東南亞國家，及國內不少企業接連中了該病毒，有持續爆發的趨勢，深信服安全團隊對該病毒進行追蹤，實現檢測與防禦。

正常情況下，為了防止被追蹤，黑客分發惡意軟體之前，都會對敏感資訊進行抹除的，而這個Debug版本的MedusaLocker，很有可能是黑客在開發過程中不慎洩露的，Debug版本包含了較多的樣本資訊，我們可以通過研究它，制定有效的檢測防禦方案。

由於Twitter上沒有公佈該樣本的MD5，只好在VT上根據關鍵字進行搜尋，最後篩選出兩個相關樣本，根據發現的時間排序，第二個樣本很可能就是提前洩露的Debug版本。

本地執行該樣本，主機檔案被加密成”.skynet”，同時生成了以下勒索提示檔案”Readme.html”。仔細一看“Your files are encrypted”和“Attention”的關鍵字，跟Globelmposter病毒非常相似，不排除作者有模仿Globelmposter的可能。

可能樣本是Debug版本的原因，執行時會自動列印除錯資訊，根據資訊，可以大致得知病毒的工作流程如下：

提權->初始化加密演算法->釋放勒索提示檔案->新增自啟動->清除資料庫、殺軟程式->刪除卷影備份->掃描遍歷檔案加密

PE檔案中的PDB資訊是什麼，有什麼用呢？它的主要功能是記錄工程中PDB檔案的路徑，存放在PE檔案的IMAGE_DEBUG_TYPE_CDEVIEW欄位，編譯器通過讀取這個欄位的值，就可以找到PDB檔案並進行相關資訊的載入。我們從該路徑中可以發現這個黑客名為Gh0St，工程的路徑也帶有明確的MedusaLocker字串。

PDB路徑欄位的格式如下，以“/RSDS”標識開頭，根據以下格式，就可以輕鬆的編寫出Medusalocker的yara規則。

PDB資訊都是以明文的方式進行儲存，通過檢測PDB特徵字串，可以高效地檢出該病毒家族的不同變種。

這種基於PDB資訊的檢測技術之前國外安全廠商FireEye有所介紹，他們整理了許多可疑的PDB字串規則進行檢測，已成功捕獲到多個新型的惡意軟體樣本。

然而，這種檢測方法還是有所侷限的，大部分情況，黑客在分發惡意軟體之前，都會使用工具對PDB資訊進行抹除，所以，除了一些被提前洩露的Debug程式，大部分樣本都是沒有PDB資訊的。

抹除PDB資訊的原理很簡單，將其中的PDB路徑覆蓋為0，或直接刪除IMAGE_DEBUG_TYOE_CODEVIEW欄位。

通過這種方法，在網上找到了Release版本的MedusaLocker樣本。

Release版本與Debug版本的病毒邏輯基本一致，只是少了除錯程式碼，但加密字尾以及勒索提示檔案則截然不同，加密字尾變成了”.encrypted”，勒索提示檔名為”HOW_TO_RECOVER_DATA.html”，且畫風也有很大改觀，在右下角新增了個醒目的鳥人標誌。

防禦