0x0 背景介紹
隨著疫情的緩解,各地企業紛紛復工,而勒索病毒家族也並沒有停下他們的腳步。近期深信服安全團隊就收到多個地區關於使用者主機遭受大面積.C4H勒索病毒入侵的求助,經過安全團隊排查分析,確認為GlobeImposter勒索病毒家族的最新變種C4H。
GlobeImposter家族首次出現的時間為2017年5月,隨後在2018與2019年出現不同系列的變種,如:以特徵字元“.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444”等的“十二生肖”系列,與以“希臘十二主神 + 666”為特徵的“十二主神”系列等。攻擊者常常透過暴力破解伺服器密碼,對內網伺服器發起掃描並人工投放GlobeImposter勒索病毒進行勒索。
0x1 變種概述
病毒變種版本: C4H.exe
MD5值:3af2e34e2b5e3632c0c99de82ac5a6e4
SHA256值:987dbef97c27a6f1f45417d3d29eafdf9dcc8c7dee0ef659d0bf0e5424a00b8c
本次主要分析的是GlobeImposter的新變種“C*H”系列中的C3H/C4H。該病毒依然使用勒索病毒中常見的RSA+AES加密演算法進行加密。
此次變種與18年出現過的版本的不同之處包括但不僅限於以下幾點:
1、不同於初始版本需要解密才能獲取RSA加密的相關資訊和最後執行的bat指令碼,新變種將這兩者直接以明文的形式寫在了程式中。
2、在設定自啟動的登錄檔鍵值中進行了調整,從BrowserUpdateCheck調整為CertificatesCheck。
3、程式執行的過程和步驟順序進行了調整。
4、程式只有一個可執行可寫的.rdata段,與我們常見的PE檔案擁有多個段並以.test段為程式碼段不同,查殼工具會認為有殼。
0x2加密流程
勒索病毒首先擁有一個的RSA公鑰(A)。對於當前使用者主機,會使用RSA生成一對新的RSA公鑰私鑰(B)。
其中生成信金鑰(B)使用原RSA公鑰(A)進行加密後,作為使用者ID。
在對系統的檔案進行遍歷與加密的過程中,對每個檔案生成其對應的AES金鑰,進行加密。加密檔案後,又會將資訊與ID透過RSA(B)進行加密並追加在加密檔案的末尾。實現勒索。
如果駭客需要解密,只要透過自己的RSA私鑰(A),對使用者的ID進行解密,就可以得到RSA私鑰(B),從而解密檔案的末尾得到AES的金鑰,再解密出原始檔案。
0x3 病毒行為
1、 對主流的檔案型別加密並新增字尾”.C4H”
2、 每個目錄下生成一個勒索文件Decryption Info.html
3、 行為工具監控檢視
1.執行監控:會建立子程式和cmd命令列進行執行,隨後結束;
2.檔案監控:大量檔案被改寫 ;
3.登錄檔監控:改寫登錄檔,如設定自啟動等;
4.網路行為:無網路行為。
0x4 技術分析
1、 檔案結構
該檔案只有一個可執行可寫的.rdata段,懷疑企圖透過這種方式逃過掃描,裡面存放了的start函式中只有一個main函式,ida反彙編檢視結構相對清晰。
2、 SHA加密金鑰
首先程式會將512位的字串作為引數傳入函式中,計算出SHA256的數值作為一份金鑰,為後續加密與解密做準備。此處懷疑長字串與RSA有關。
3、 解密字串
隨後,程式會利用上一步中SHA加密得到的值作為金鑰,對程式中的一些資源進行解密;
分別解密出了勒索文件的名稱;
大量Windows系統相關的字串:
大量罕見的檔案格式:
以及後續加密將要用到的金鑰:
(此處.C3H和.C4H僅文字上區別,並無實質或版本區別)
初步判斷是檔案格式和與windows有關的字串是程式將要避開的目標。
4、 自我複製
隨後會獲取系統上某一特定路徑,將自身複製到該路徑上;
利用了GetEnvironmentVariableW,CopyFileW等API函式。
5、 設定登錄檔鍵值
設定了自啟動的登錄檔鍵值,此處使用了CertificatesCheck,在以前的版本中使用了BrowserUpdateCheck,發生了變化。
6、 生成使用者專屬檔案
其中解密出的字串是透過利用0123456789ABCDEF進行簡單的運算解密出的雜湊字串
隨後透過附加在目錄後,去建立使用者專屬ID的檔案,內部儲存一些使用者的資訊。
隨後透過RSA加密演算法,對ID檔案的內容進行加密;
再將內容寫入檔案中,內容如下:
7、 勒索文件的生成
生成了Decryption Info.html
8、 結束程式
遍歷C:\Windows\system32目錄下的程式,如果執行中就先結束。
在動態除錯過程中發現主要遍歷了一些exe檔案,檢視是否有對應的程式在執行中,有則結束。
9、 檔案加密
檔案加密時首先透過GetLogicalDrives和GetDriveTypeA等API獲取磁碟的資訊,然後對每一個盤開啟一個執行緒進行加密。執行緒開啟的encrypt函式主要引數為v18,它透過偏移分別包括了加密的key,使用者的ID(上面生成的,也會作為加密的資訊進行加密),以及檔案的路徑。
對檔案加密的過程主要用到了AES演算法,並且在程式中直接實現,而不是呼叫API。
先利用RSA公鑰去加密“010001”寫入檔案後面,然後再把使用者ID寫入檔案末尾;
從而完成加密,再透過迴圈不斷加密下一個檔案。
10、 執行bat指令碼
指令碼會刪除登錄檔中“Terminal Server Client”中的鍵值,刪除遠端桌面連線資訊檔案default.rdp,還會透過wevtutil.exe cl的命令清除日誌的相關資訊。
11、 自我刪除
透過呼叫CMD /c del來實現自刪除。
0x5 解決方案
針對已經出現勒索現象的使用者,由於暫時沒有解密工具,建議儘快對感染主機進行斷網隔離。深信服提醒廣大使用者儘快做好病毒檢測與防禦措施,防範該病毒家族的勒索攻擊。
1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺:
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2. 深信服安全感知、下一代防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
3. 深信服安全產品繼承深信服SAVE安全智慧檢測引擎,擁有對未知病毒的強大泛化檢測能力,能夠提前精準防禦未知病毒;
4. 深信服推出安全運營服務,透過以“人機共智”的服務模式提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
0x6 加固建議
1. 使用高強度的主機密碼,並避免多臺裝置使用相同密碼,不要對外網直接對映3389等埠,防止暴力破解;
2. 避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;
3. 定期使用安全軟體進行全盤掃描和處置,定期檢測系統漏洞並且進行補丁修復。
0x7 諮詢與服務
您可以透過以下方式聯絡我們,獲取關於GlobeImposter的免費諮詢及支援服務:
1、撥打電話400-630-6430轉6號線(已開通勒索軟體專線);
2、關注【深信服技術服務】微信公眾號,選擇“智慧服務”選單,進行諮詢;
3、PC端訪問深信服社群 bbs.sangfor.com.cn,選擇右側智慧客服,進行諮詢。