網路資源也不放過,Clop勒索這股“韓流”隨冬而至!

深信服千里目發表於2021-11-09

背景概述

近日,深信服安服應急響應中心聯合終端安全團隊捕獲到了一例CLOP勒索病毒新變種。CLOP勒索病毒最早出現於2019年初,其主要活動區域在韓國,但國內也有企業遭到該勒索病毒的攻擊。


Clop勒索病毒具有很強的反檢測機制,本次捕獲的變種樣本為了繞過沙箱,病毒只以服務的方式執行進行全盤加密,另外比較特別的是該變種並不會修改加密檔案的字尾,而是建立一個同名檔案加上”.C_L_O_P”字尾用於儲存金鑰

圖片


除此之外,Clop勒索的勒索信內容也做了改變,從對受害者定製的勒索資訊中可以看到,攻擊者除了對檔案進行加密勒索,同時還會竊取敏感資料,以威脅受害者支付贖金。

加密現象如下:

圖片


攻擊過程

1.透過RDP爆破的方式登入運維人員PC;

2.對運維人員PC植入TinyMet後門進行維權及資料竊取;

3.獲取域控密碼後,透過域控對內網主機遠端複製勒索病毒檔案並建立對應服務,實現勒索攻擊。

圖片

 

樣本分析

為了避免被殺軟查殺,病毒使用Delphi外殼程式進行了封裝:

圖片

 

病毒執行後,其會讀取資源ff1並將其解密:

圖片

 

ff1資源內容如下所示:

圖片

 

解密出的內容為系統API結構體+勒索病毒payload+裝載payload的shellcode:

圖片

 

解密完成後返回到裝載payload的shellcode:

圖片

 

裝載勒索病毒payload:

圖片

 

執行payload進行勒索行為:

圖片

 

加密流程

該病毒不僅會加密本地磁碟檔案,還會加密網路資源。遍歷磁碟,排除掉系統重要檔案,並且比較字尾名和檔案大小,只有符合條件的檔案才會進行加密。


針對每個待加密的檔案,病毒隨機生成117位元組的金鑰,使用RSA對該金鑰進行加密並存放在.C_L_O_P字尾名的檔案中,使用RC4演算法對檔案內容進行加密,並且僅對檔案偏移0x4000之後的內容進行加密。


病毒根據不同的啟動引數執行不同的函式進行加密,且病毒需要註冊成服務形式才會執行全盤加密:

圖片

 

列舉網路資源,迴圈對網路資源進行加密

圖片

 

遍歷本地磁碟,對本地磁碟檔案進行加密

圖片

 

初始化RSA公鑰,後邊會使用RSA加密隨機生成的RC4金鑰

圖片


判斷磁碟,如果是C盤,病毒會額外的加多一個判斷函式,獲取檔案的校驗值,判斷檔案是否屬於系統重要檔案

圖片

 

判斷並跳過以下檔案字尾名不進行加密:

.ocx、.dll、.exe、.sys、.lnk、.ico、.ini、.msi、.chm、.hlf、.lng、.ttf、.cmd、.bat、

圖片


獲取檔名的校驗值,重要的檔案不參與加密

圖片

 

開啟檔案,如果開啟檔案失敗重啟管理器再次嘗試開啟檔案,避免無法加密檔案

圖片

 

比較檔案大小,跳過檔案大小小於17kb的檔案

圖片

 

獲取117位元組的隨機金鑰,如果獲取失敗,則使用預設的金鑰。採用RSA加密隨機金鑰,並存放至.C_L_O_P檔案中

圖片

 

獲取檔案偏移0x4000以外的內容,並使用RC4演算法對內容進行加密

圖片

 

在每個資料夾下寫入勒索資訊

圖片

 

日常加固

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權,關閉不必要的檔案共享功能並且定期進行非本地備份;

2.使用高強度的主機密碼,並避免多臺裝置使用相同密碼,不要對外網直接對映3389等埠,防止暴力破解;

3.避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案 

1. 深信服安全感知管理平臺SIP、下一代防火牆AF、終端響應檢測平臺EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;

圖片

 

2.深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺:

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;

4.深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

相關文章