技術揭秘：勒索蘋果代工廠5000萬美元的REvil有什麼不同？

背景概述

REvil（又名Sodinokibi）勒索病毒團伙近期活躍度非常高，上個月才加密並竊取了某計算機巨頭企業機密資料的REvil，在本月又入侵了蘋果代工廠要價5000萬美元，堪稱勒索病毒界的“勞模”。

《3.25 億！REvil 勒索團伙又出動，深信服 EDR 來給使用者打個“勒索病毒預防針”》

深信服終端安全團隊一直對REvil勒索病毒團伙的技術應用和模式發展進行深度追蹤，同時捕獲到了本次攻擊事件中的勒索病毒母體，透過技術分析發現，REvil在免殺技術上做了部分改進，母體和元件都偽造了數字簽名，透過檔案釋放和DLL呼叫的方式分級觸發，並透過多層payload解密才得到功能程式碼；

除此以外分析人員發現，本次的病毒檔案與此前針對國內企業的病毒檔案還存在一些細節差異，排除加密的目錄關鍵字中不再包含"tencent fies","wechat files"等中國普遍使用的軟體目錄。

技術分析

REvil勒索病毒母體分為EXE和DLL兩個部分，都先封裝在一個名為svchost.exe的可執行檔案中，三個檔案都偽造了數字簽名，其中svchost.exe和MpSvc.dll用了同樣的偽造簽名，而MsMpEng.exe則偽造了微軟的簽名：

雙擊執行svchost.exe後，會從資源中讀取MsMpEng.exe和MpSvc.dll：

 

 

將兩個檔案釋放到temp目錄下，並呼叫cmd，利用/c引數後臺執行MsMpEng.exe：

 

 

而MsMpEng.exe也沒有實質性的惡意功能，只是載入了MpSvc.dll中的匯出函式ServiceCrtMain()：

 

 

MpSvc.dll中解密了兩層payload後開始執行惡意功能，首先從記憶體中解密出需要用到的字元資源合集：

 

 

分別在HKEY_LOCAL_MACHINE\SOFTWARE和HKEY_LOCAL_USER\SOFTWARE下查詢登錄檔項BlackLivesMatter的x4WHjRs值，若不存在該值，則生成7位加密字尾，隨後建立該鍵值，值設定為加密字尾：

 

 

採集基本的主機資訊，包括使用者名稱、主機名、磁碟型別以及以下注冊表項的值：

hKey = HKEY_LOCAL_MACHINE

Subkey = "SYSTEM\CurrentControlSet\services\Tcpip\Parameters"

ValueName = "Domain"

 

hKey = HKEY_CURRENT_USER

Subkey = "Control Panel\International"

ValueName = "LocaleName"

 

hKey = HKEY_LOCAL_MACHINE

Subkey = "SOFTWARE\Microsoft\Windows NT\CurrentVersion"

ValueName = "productName"

 

建立互斥體，防止重複執行：

 

 

使用函式SHEmptyRecycleBinW清空回收站，並使用SetThreadExecutionState防止主機進入休眠狀態：

 

 

為自身程式提權：

 

 

列舉出終端上的服務，檢視服務名是否在以下列表中，有則進行刪除：

"svc": ["sophos",  "svc$", "sql", "mepocs", "vss", "backupбмукшефы", "veeam", "memtas"]

 

 

遍歷程式，檢視是否存在以下程式，如有則終止：

"prc":["allegro","steam","xtop","ocssd","xfssvccon","onenote","isqlplussvc","msaccess","powerpnt","cad","sqbcoreservice","thunderbird","oracle","infopath","dbeng50","pro_comm_msg","agntsvc","thebat","firefox","ocautoupds","winword","synctime","tbirdconfig","mspub","visio","sql","ocomm","orcad","mydesktopservice","dbsnmp","outlook","cadence","excel","wordpad","creoagent","encsvc","mydesktopqos"]

 

 

遍歷目錄進行加密，同時排除以下目錄；與針對中國使用者不同的是，排除的目錄關鍵字中不再包含"tencent fies","wechat files"等中國普遍使用的軟體目錄：

"wht":{"fld":["google","windows.old","programdata","system volume information","application data","program files (x86)","intel","boot","$windows.~bt","tor browser","program files","windows","perflogs","$windows.~ws","msocache","appdata","mozilla"]

 

排除以下檔案：

"fls":["ntuser.ini","ntldr","bootmgr","ntuser.dat.log","ntuser.dat","thumbs.db","autorun.inf","bootfont.bin","desktop.ini","boot.ini","iconcache.db","bootsect.bak"]

 

排除以下字尾：

"ext":["ldf","adv","shs","cmd","ico","msc","hlp","drv","lock","nls","theme","lnk","nomedia","diagcab","ics","bat","rtp","spl","wpx","idx","icl","dll","themepack","scr","msi","key","mpa","cab","prf","ps1","bin","msstyles","msu","cpl","ani","386","sys","diagpkg","exe","mod","rom","icns","hta","msp","ocx","diagcfg","cur","com","deskthemepack"]

 

在每個目錄下釋放勒索資訊txt檔案：

 

 

加密後修改主機桌面為標誌性的藍色背景：

 

如果NET欄位配置為True的時候（預設為false），將向C&C端傳送受害主機基本資訊和生成的Key，域名配置包含了1229個域名字元：

加固建議

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案

1.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2.深信服安全感知、防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。