0x0 背景介紹

隨著疫情的緩解，各地企業紛紛復工，而勒索病毒家族也並沒有停下他們的腳步。近期深信服安全團隊就收到多個地區關於使用者主機遭受大面積.C4H勒索病毒入侵的求助，經過安全團隊排查分析，確認為GlobeImposter勒索病毒家族的最新變種C4H。

GlobeImposter家族首次出現的時間為2017年5月，隨後在2018與2019年出現不同系列的變種，如：以特徵字元“.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444”等的“十二生肖”系列，與以“希臘十二主神 + 666”為特徵的“十二主神”系列等。攻擊者常常通過暴力破解伺服器密碼，對內網伺服器發起掃描並人工投放GlobeImposter勒索病毒進行勒索。

0x1 變種概述

病毒變種版本： C4H.exe

MD5值：3af2e34e2b5e3632c0c99de82ac5a6e4

SHA256值：987dbef97c27a6f1f45417d3d29eafdf9dcc8c7dee0ef659d0bf0e5424a00b8c

本次主要分析的是GlobeImposter的新變種“C*H”系列中的C3H/C4H。該病毒依然使用勒索病毒中常見的RSA+AES加密演算法進行加密。

此次變種與18年出現過的版本的不同之處包括但不僅限於以下幾點：

1、不同於初始版本需要解密才能獲取RSA加密的相關資訊和最後執行的bat指令碼，新變種將這兩者直接以明文的形式寫在了程式中。

2、在設定自啟動的登錄檔鍵值中進行了調整，從BrowserUpdateCheck調整為CertificatesCheck。

3、程式執行的過程和步驟順序進行了調整。

4、程式只有一個可執行可寫的.rdata段，與我們常見的PE檔案擁有多個段並以.test段為程式碼段不同，查殼工具會認為有殼。

0x2加密流程

勒索病毒首先擁有一個的RSA公鑰（A）。對於當前使用者主機，會使用RSA生成一對新的RSA公鑰私鑰（B）。

其中生成信金鑰（B）使用原RSA公鑰（A）進行加密後，作為使用者ID。

在對系統的檔案進行遍歷與加密的過程中，對每個檔案生成其對應的AES金鑰，進行加密。加密檔案後，又會將資訊與ID通過RSA（B）進行加密並追加在加密檔案的末尾。實現勒索。

如果黑客需要解密，只要通過自己的RSA私鑰（A），對使用者的ID進行解密，就可以得到RSA私鑰（B），從而解密檔案的末尾得到AES的金鑰，再解密出原始檔案。

0x3 病毒行為

1、 對主流的檔案型別加密並新增字尾”.C4H” 

2、 每個目錄下生成一個勒索文件Decryption Info.html

3、 行為工具監控檢視

1.執行監控：會建立子程式和cmd命令列進行執行，隨後結束；

2.檔案監控：大量檔案被改寫 ；

3.登錄檔監控：改寫登錄檔，如設定自啟動等；

4.網路行為：無網路行為。

0x4 技術分析

1、 檔案結構

該檔案只有一個可執行可寫的.rdata段，懷疑企圖通過這種方式逃過掃描，裡面存放了的start函式中只有一個main函式，ida反彙編檢視結構相對清晰。

2、 SHA加密金鑰

首先程式會將512位的字串作為引數傳入函式中，計算出SHA256的數值作為一份金鑰，為後續加密與解密做準備。此處懷疑長字串與RSA有關。

3、 解密字串

隨後，程式會利用上一步中SHA加密得到的值作為金鑰，對程式中的一些資源進行解密；

分別解密出了勒索文件的名稱；

大量Windows系統相關的字串：

大量罕見的檔案格式：

以及後續加密將要用到的金鑰：

（此處.C3H和.C4H僅文字上區別，並無實質或版本區別）

初步判斷是檔案格式和與windows有關的字串是程式將要避開的目標。

4、 自我複製

隨後會獲取系統上某一特定路徑，將自身複製到該路徑上；

利用了GetEnvironmentVariableW，CopyFileW等API函式。

5、 設定登錄檔鍵值

設定了自啟動的登錄檔鍵值，此處使用了CertificatesCheck，在以前的版本中使用了BrowserUpdateCheck，發生了變化。

6、 生成使用者專屬檔案

其中解密出的字串是通過利用0123456789ABCDEF進行簡單的運算解密出的雜湊字串

隨後通過附加在目錄後，去建立使用者專屬ID的檔案，內部儲存一些使用者的資訊。

隨後通過RSA加密演算法，對ID檔案的內容進行加密；

再將內容寫入檔案中，內容如下：

7、 勒索文件的生成

生成了Decryption Info.html

8、 結束程式

 遍歷C:\Windows\system32目錄下的程式，如果執行中就先結束。

在動態除錯過程中發現主要遍歷了一些exe檔案，檢視是否有對應的程式在執行中，有則結束。

9、 檔案加密

檔案加密時首先通過GetLogicalDrives和GetDriveTypeA等API獲取磁碟的資訊，然後對每一個盤開啟一個執行緒進行加密。執行緒開啟的encrypt函式主要引數為v18，它通過偏移分別包括了加密的key，使用者的ID（上面生成的，也會作為加密的資訊進行加密），以及檔案的路徑。

對檔案加密的過程主要用到了AES演算法，並且在程式中直接實現，而不是呼叫API。

先利用RSA公鑰去加密“010001”寫入檔案後面，然後再把使用者ID寫入檔案末尾；

從而完成加密，再通過迴圈不斷加密下一個檔案。

10、 執行bat指令碼

指令碼會刪除登錄檔中“Terminal Server Client”中的鍵值，刪除遠端桌面連線資訊檔案default.rdp，還會通過wevtutil.exe cl的命令清除日誌的相關資訊。

11、 自我刪除

通過呼叫CMD /c del來實現自刪除。

0x5 解決方案

針對已經出現勒索現象的使用者，由於暫時沒有解密工具，建議儘快對感染主機進行斷網隔離。深信服提醒廣大使用者儘快做好病毒檢測與防禦措施，防範該病毒家族的勒索攻擊。

1. 深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺：

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知、下一代防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3. 深信服安全產品繼承深信服SAVE安全智慧檢測引擎，擁有對未知病毒的強大泛化檢測能力，能夠提前精準防禦未知病毒；

4. 深信服推出安全運營服務，通過以“人機共智”的服務模式提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

0x6 加固建議

1. 使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

2. 避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

3. 定期使用安全軟體進行全盤掃描和處置，定期檢測系統漏洞並且進行補丁修復。

0x7 諮詢與服務

您可以通過以下方式聯絡我們，獲取關於GlobeImposter的免費諮詢及支援服務：

1、撥打電話400-630-6430轉6號線（已開通勒索軟體專線）；
2、關注【深信服技術服務】微信公眾號，選擇“智慧服務”選單，進行諮詢；
3、PC端訪問深信服社群 bbs.sangfor.com.cn，選擇右側智慧客服，進行諮詢。