【预警】Sodinokibi勒索病毒最新变种,竟通过混淆JavaScript代码传播
近日,亚信安全截获利用混淆的JS代码传播的Sodinokibi勒索病毒变种文件,其通过垃圾邮件附件传播。由于附件是混淆的JS脚本文件,其可以轻松逃避杀毒软件的检测,一旦用户点击附件,计算机中的文件将会被加密。亚信安全将其命名为TROJ_FR.620727BA。
Sodinokibi勒索病毒首次出现在今年4月份,早期版本使用Web服务相关漏洞传播,后来发现该勒索病毒通过垃圾邮件附件传播,亚信安全曾经多次截获此类垃圾邮件,其附件是伪装的Word文档,实际上是PE格式的可执行文件,其附件文件名称通常为:關於你案件的文件.doc.exe,聯繫方式.doc.exe,來自最高法院的文件\錶殼材料.doc.exe,稅務局的文件\樣品填充.doc.exe等,这些带有诱惑性的文件名,极易误导用户点击。
攻击流程解析
Sodinokibi勒索病毒最新变种详细分析
原始样本是一个混淆过的JS脚本,通过对数组内容的读取获取混淆后的具体代码,内容如下:
通过动态调试,获取到解混淆后正常的JS代码,该脚本主要是利用PowerShell进一步去除混淆:
通过以上代码,安全专家得知变量vhtsxspmssj是一个混淆的PowerShell脚本。去除混淆(将其中的感叹号去除)后它将会被保存到jurhtcbvj.tmp中:
去除混淆后,通过PowerShell执行Base64加密的数据:
安全专家将其中加密的数据进行Base64解密,如下图所示,其仍然是通过将数据Base64加密,然后利用PowerShell进行解密后执行,主要是执行install1函数:
安全专家对其中加密的数据进行解密,本次解密主要是利用PowerShell脚本来进行,将运行解密后的数据输出到文件中,以便安全专家进一步分析。安全专家修改原始的脚本,内容如下:
运行脚本后,安全专家发现本次加密数据其实的是一个PE文件,通过查看文件信息,此文件是一个.NET模块。安全专家将此命名为dump_1.dll文件:
dump_1.dll文件分析(.NET模块)
安全专家对此.NET文件进行逆向分析,主要是查找原始脚本中执行的install1()函数,该函数的主要功能是将主要数据Base64加密,然后使用NET中的相关解密函数解密后加载到内存中执行:
安全专家将base64加密的数据手动进行base64解密,发现它是一个PE文件,查看文件信息,是使用Borland Delphi编写的DLL文件,安全专家将此命名为dump_2.dll文件:
dump_2.dll文件分析
安全专家对相关的DLL(dump_2.dll)文件进行逆向分析,通过查看导入函数,安全专家发现了有对资源操作的API,可能是该文件的资源截取存在可疑数据:
安全专家通过查看dump_2.dll文件的资源数据,发现是一个被加密的数据,资源段名称为HELP,通过查看反汇编相关代码,该加密数据用7B异或,即可获取解密后的相关数据:
安全专家可以选择动态调试解密,在知道如何解密的情况下,也可以使用二进制工具手动进行异或解密。解密后,安全专家发现又是一个PE文件,安全专家命名为dump_3.dll,继续对此文件进行分析:
dump_3.dll文件分析
安全专家查看该文件的信息,发现其信息与dump_2.dll基本类似,查看反汇编代码,同样是使用了资源截取存放payload。安全专家将此payload命令为dump_4.dll文件:
它还会检查AhnLab相关服务和文件是否存在,AhnLab(安博士)是韩国的一家杀毒软件:
通过进一步查看其反汇编代码,加载payload的方式是使用Process Hollowing技术。如果找到AhnLab勒索软件的服务或者文件,它将会通过Process Hollowing将此payload注入到该安全产品autoup.exe进程中。如果没有安装AhnLab勒索软件,它将会通过Process Hollowing将此payload注入到当前进程(PowerShell进程实例):
dump_4.dll文件分析(真正的勒索软件主体)
安全专家查看dump_3.dll资源区域,存在加密的数据,使用同样的方式7B进行异或,得到勒索软件主体模块Payload:
安全专家查看文件信息,发现区段中有一个异常的节,通过反汇编代码可以看到,此节内的数据是加密的,需要解密才可以知道其具体内容(这与以往的Sodinokibi勒索病毒是一样的,都有一个特殊的节存放着加密的配置文件信息,可能这个节的名字不一样):
安全专家通过反汇编和动态调试,该区段果然与以往的Sodinokibi勒索病毒一样,存放着配置信息,配置信息包括白名单目录、文件扩展名以及域名信息等:
白名单目录:
随机域名列表信息:
删除系统卷影,让文件恢复变得更加困难:
加密后的桌面壁纸:
加密后文件的扩展名为.vx525c61
加密勒索通知信息:
亚信安全教你如何防范
- 不要点击来源不明的邮件以及附件;
- 不要点击来源不明的邮件中包含的链接;
- 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
- 打开系统自动更新,并检测更新进行安装;
- 尽量关闭不必要的文件共享;
- 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
亚信安全产品解决方案
- 亚信安全病毒码版本309.60,云病毒码版本15.309.71,全球码版本15.311.00已经可以检测,请用户及时升级病毒码版本。
IOCs
3e974b7347d347ae31c1b11c05a667e2
##
关于亚信安全
亚信安全是中国网络安全行业领跑者,以安全数字世界为愿景,旨在护航产业互联网。亚信安全是云安全、身份安全、终端安全、态势感知、高级威胁治理、威胁情报技术领导者,同时是5G、云计算、物联网、大数据、工控、移动六大安全场景引领者。在国内拥有2个独立研发中心,2,000人安全专业团队。欲了解更多,请访问: http://www.asiainfo-sec.com
更多媒体垂询,敬请联络:
亚信安全 | 谋信传媒 |
刘婷婷 | 雷远方 |
电话:010- 58256889电子邮件: liutt5@aisainfo-sec.com | 电话:010-67588241电子邮件:leiyuanfang@ctocio.com |
相关文章
- 2条评论
- 假欢掩吻2022-05-28 14:56:21
- 具体代码,内容如下:通过动态调试,获取到解混淆后正常的JS代码,该脚本主要是利用PowerShell进一步去除混淆:通过以上代码,安全专家得知变量vhtsxspmssj是一个混淆的PowerShell脚本。去除混淆(将其中的感叹号去除)后它将会被保存到jurhtcbvj
- 纵遇孤央2022-05-28 14:46:49
- 加密数据用7B异或,即可获取解密后的相关数据:安全专家可以选择动态调试解密,在知道如何解密的情况下,也可以使用二进制工具手动进行异或解密。解密后,安全专家发现又是一个PE文件,安全专家命名为dump_3.dll,继续对此文件进行分析:dump_3.dll文件分析安