Geerban勒索病毒样本的基本分析

华盟原创文章投稿奖励计划

No.1

声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

No.2

病毒概述
Geerban勒索病毒可谓十分“多变”, 利用十余种攻击方式组成“广撒网”的攻击策略。攻击者在成功攻破一条服务器后并不满足于此,还会向目标电脑释放大量进程对抗工具、内网扫描工具、本地密码抓取工具等,企图攻击内网中其它机器。一旦入侵成功,即可获得对目标电脑的完全控制权,并绑架局域网内的其他中招电脑,危害极大。

No.3

技术分析
病毒母体
Geerban勒索病毒样本的基本分析释放子文件
Geerban勒索病毒样本的基本分析Geerban勒索病毒样本的基本分析Geerban勒索病毒样本的基本分析根据现场观察加密文件以及出现勒索信息的时间可以判断,执行勒索的时间为2020年2月17日00:00左右。
Geerban勒索病毒样本的基本分析从安全日志中可以看到从2月17日0点04分日志里出现了加密文件。
Geerban勒索病毒样本的基本分析2020年2月17日 0:01终止远程桌面链接,之后紧接着系统出现勒索病毒。
Geerban勒索病毒样本的基本分析根据监测平台证实了内网IP在18号17:14也出现了恶意程序,疑似也已被投放勒索病毒。
Geerban勒索病毒样本的基本分析在对smb服务安全日志审计中发现从1月6号开始出现过2次异常共享文件服务现象:

第一起为内网IP 1月6日16:10到19:37持续尝试访问本地共享文件??D:失败,因访问权限不足拒绝。
Geerban勒索病毒样本的基本分析内网IP于1月6日17:03 尝试空用户名登录失败。
Geerban勒索病毒样本的基本分析最终19点37分停止。
Geerban勒索病毒样本的基本分析第二起在2020年02月16日 23:16 到2月17日 1:20期间,内网IP 尝试匿名登录smb服务失败,判断可能疑似受感染尝试攻击本机行为。

系统自带AV日志可以看到最早2020年2月16日 23:57 发现downloads出现勒索病毒母体程序AntiRecuvaAndDB.exe,类型识别为变种Phobos类勒索病毒。

Geerban勒索病毒样本的基本分析经取证验证该程序确实为母体程序,运行即会释放勒索病毒程序造成系统中毒。
Geerban勒索病毒样本的基本分析文件进行复制覆盖释放PE文件,然后使用释放的AntiRecuvaAndDB.exe改写电脑文件
Geerban勒索病毒样本的基本分析Geerban勒索病毒样本的基本分析释放svchost.com后svchost.exe执行以下命令
Geerban勒索病毒样本的基本分析写入文件RecentFileCache.bcf
Geerban勒索病毒样本的基本分析RecentFileCache.bcf文件内容疑似为样本搜索感染覆盖的exe目录
Geerban勒索病毒样本的基本分析样本释放的msoia.exe需要AppVIsvSubsystems32.dll才可执行
Geerban勒索病毒样本的基本分析AntiRecuvaAndDB.exe在注册表中给自己写入开机自启动项
Geerban勒索病毒样本的基本分析运行cmd.exe写入文件
Geerban勒索病毒样本的基本分析Geerban勒索病毒样本的基本分析更改文件操作属性,防火墙属性设置

"netsh advfirewall set currentprofile state offnnetsh firewall set opmode mode=disable"

Geerban勒索病毒样本的基本分析向该地址释放文件
Geerban勒索病毒样本的基本分析开始搜索UUID来对文件后缀名更改替换操作.进行加密步骤,然后删除原文件
Geerban勒索病毒样本的基本分析Geerban勒索病毒样本的基本分析Geerban勒索病毒样本的基本分析Geerban勒索病毒样本的基本分析执行sleep函数,进行对抗反调试
Geerban勒索病毒样本的基本分析

运行总结:
病毒母体为AntiRecuvaAndDB.exe,该病毒可执行加密勒索、添加自启、复制母体病毒、反调试、修改注册表、清理日志、对内网设备进行数据传输等行为。怀疑母体释放的svchost.com为感染的检索目录,确定存在勒索行为,疑似存在一定的内网攻击扩散行为,可能受到影响的服务有smb、rdp、telnet等。

No.4

总结
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。

特征:
1.更改启动项
2.关闭防火墙
3.反调试(sleep函数)
4.写入可执行文件并混淆拓展名(svchost.com)

No.5

华盟知识星球入口

防护措施
1)该勒索病毒主要传播途径为钓鱼邮件,建议不要轻易点击不明邮件的可疑链接和可执行附件。
2)建议安装终端防护软件,以阻挡勒索病毒的执行,避免数据遭受加密和损失。
3)建议使用流量侧恶意文件识别探针,发现恶意电子邮件、勒索病毒通过网络传播的痕迹。
4)及时备份重要文件,或完善文件备份机制,且备份服务器与业务服务器隔离。
5)及时安装操作系统补丁、更新应用版本号,减少漏洞攻击面。
6)避免使用弱口令账户,降低系统和应用遭到暴力破解成功的可能性。
7)关闭服务器上无用的调试服务、端口,严格使用防火墙控制网络访问权限。
8)若遇到勒索病毒攻击,建议不要断电,马上断网,并保留现场等待安全专家对服务器进行排查,可借助数据恢复工具尝试恢复已被删除软件(重启后无效)。

本文来源雷神众测,经授权后由SIREN发布,观点不代表华盟网的立场,转载请联系原作者。

发表评论