1.背景
在公众号文章中看到一篇名为《敲竹杠木马分析:虚假的植物大战僵尸杂交版》的文章,样本来源于某吧,对此我们对样本进行了提取分析。
文章链接:https://mp.weixin.qq.com/s/Up9u4DZtHnVNMiGBIHZzHw
2.恶意文件基础信息
| 文件名 | 植物大战僵尸杂交版v2.1安装包.exe |
|---|---|
| 大小 | 44.55MB |
| 操作系统 | windows |
| 架构 | 386 |
| 模式 | 32 位 |
| 类型 | EXEC |
| 字节序 | LE |
| MD5 | b78f0af88d811d3e4d92f7cd03754671 |
| SHA1 | 718f9b5fbcc0ead85157bd67d7643daf99dcedbc |
| SHA256 | 396c74b2aeca0dbea8ae5f4770bc66e99f8d22aa284b392d0b78dee1711014af |
3.加密后文件分析
3.1威胁分析
| 病毒家族 | MBRlock |
|---|---|
| 首次出现时间/捕获分析时间 | 2024/06/21 || 2024/06/21 |
| 威胁类型 | 勒索软件,加密病毒 |
| 联系邮箱 | qq3113763905 |
| 感染症状 | 电脑黑屏,开机显示勒索qq。 |
| 感染方式 | 受感染的电子邮件附件(宏)、恶意广告、漏洞利用、恶意链接 |
4.逆向分析
4.1 查壳
Upx 壳子。
4.1.1 文件操作
定位当前文件路径
从文件中读取数据
4.1.2 解密操作
文件里面有三个明文的密钥
进行三次rc4解密操作
获取到了一个字符串
Spark.LocalServer.exe
还有一些数据
4.1.3 目录操作
获取并拼接生成目录名C:\Users\123\AppData\Local\Temp\Temp
根据这个目录逐级生成目录
生成两个字符串 C:\Users\123\AppData\Local\Temp\Temp\Spark.LocalServer.exe C:\Users\123\AppData\Local\Temp\Temp\kook网截.vmp.exe
根据刚才解密出来的东西写入文件
调用shell打开这两文件
4.1.4 蓝屏
点击后蓝屏
显示勒索qq号
4.2 释放的exe分析
4.2.1 kook网截.vmp.exe分析
通过查壳分析发现是易语言写的程序
通过字符串交叉引用定位到了勒索qq号生成的位置以及明文密钥“我爱原神”
载入xdbg
发现该病毒调用了一个易语言的加密模块,这是经典的MBR勒索病毒之一,它通过覆盖硬盘数据的方式阻止系统正确启动,同时在网上也能找到对应的源码。
5.病毒分析小结
根据对样本的深入逆向工程分析,得出该勒索病毒分析结果概览:
主要功能:
释放文件,调用shell执行文件对硬盘进行上锁
字符串混淆:采用rc4混淆字符串,并用固定的key解密
系统操作:在指定路径下释放文件
6.修复方法
MBR病毒通过覆盖硬盘数据的方式阻止系统正确启动。由于我们不知道密码不能进入系统,想要手动恢复的话我们需要一个能够进入PE维护系统的移动介质。
6.1 系统引导
我们借助U盘/CD/DVD等移动存储介质通过PE系统检查硬盘数据情况。
服务器通过开机引导键盘位F12进入启动项选择界面选择U盘启动。
个人电脑可以通过F12重复上述操作;
或DELETE按键进入设备主机BIOS,按下F8(不同品牌设备存在差异,以华硕为例)选择要启动的硬盘类型,选择提前插入的U盘启动。
6.2 PE示例
不同PE工具界面略有差异。
进入PE维护系统,运行BOOTICE。
6.3 修复扇区
本次为虚拟机操作。
可以看到首扇区已经不是正常的引导,而是变成了勒索信息。
MBR勒索通常是把引导信息放在第三个扇区。
为了避免意外,我们将前几个扇区先备份一下。
这样的我们直接把第三个扇区的数据覆盖到第一个扇区上,覆盖完成,点击保存。
无论是MBR格式的磁盘还是GPT格式的磁盘,都需要打开分区管理,检查分配盘符情况,正确分配到C盘,
若发现其他盘符有抢占的情况,无法分配到C盘或已存在盘符,则重启设备即可,重启后会恢复正常。
重启测试已经能够进入服务器,检查硬盘分区和数据各项已恢复正常。
本次修复已完成。
7.安全建议
7.1 风险消减措施
资产梳理排查目标:根据实际情况,对内外网资产进行分时期排查
服务方式:调研访谈、现场勘查、工具扫描
服务关键内容:流量威胁监测系统排查、互联网暴露面扫描服务、技术加固服务、集权系统排查
7.2 安全设备调优
目标
通过对安全现状的梳理和分析,识别安全策略上的不足,结合目标防御、权限最小化、缩小攻击面等一系列参考原则,对设备的相关配置策略进行改进调优,一方面,降低无效或低效规则的出现频次;另一方面,对缺失或遗漏的规则进行补充,实现将安全设备防护能力最优化。
主要目标设备
网络安全防护设备、系统防护软件、日志审计与分析设备、安全监测与入侵识别设备。
7.3 全员安全意识增强调优
目标:
通过网络安全意识宣贯、培训提升全方位安全能力
形式:
培训及宣贯
线下培训课表
若无法组织线下的集体培训,考虑两种方式:
1.提供相关的安全意识培训材料,由上而下分发学习
2.组织相关人员线上开会学习。线上培训模式。
线上学习平台
8.团队介绍
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS(信息技术服务运行维护标准四级)以及国家信息安全漏洞库(CNNVD)技术支撑单位等认证,已构建了网络安全行业合格的资质体系。
9.数据恢复服务流程
多年的数据恢复处理经验,在不断对客户服务优化的过程中搭建了"免费售前+安心保障+专业恢复+安全防御"一体化的专业服务流程。
① 免费咨询/数据诊断分析
专业的售前技术顾问服务,免费在线咨询,可第一时间获取数据中毒后的正确处理措施,防范勒索病毒在内网进一步扩散或二次执行,避免错误操作导致数据无法恢复。
售前技术顾问沟通了解客户的机器中毒相关信息,结合团队数据恢复案例库的相同案例进行分析评估,初步诊断分析中毒数据的加密/损坏情况。
② 评估报价/数据恢复方案
您获取售前顾问的初步诊断评估信息后,若同意进行进一步深入的数据恢复诊断,我们将立即安排专业病毒分析工程师及数据恢复工程师进行病毒逆向分析及数据恢复检测分析。
专业数据恢复工程师根据数据检测分析结果,定制数据恢复方案(恢复价格/恢复率/恢复工期),并为您解答数据恢复方案的相关疑问。
③ 确认下单/签订合同
您清楚了解数据恢复方案后,您可自主选择以下下单方式:
双方签署对公合同:根据中毒数据分析情况,量身定制输出数据恢复合同,合同内明确客户的数据恢复内容、数据恢复率、恢复工期及双方权责条款,双方合同签订,正式进入数据恢复专业施工阶段,数据恢复后进行验证确认,数据验证无误,交易完成。
④ 开始数据恢复专业施工
安排专业数据恢复工程师团队全程服务,告知客户数据恢复过程注意事项及相关方案措施,并可根据客户需求及数据情况,可选择上门恢复/远程恢复。
数据恢复过程中,团队随时向您报告数据恢复每一个节点工作进展(数据扫描 → 数据检测 → 数据确认 → 恢复工具定制 → 执行数据恢复 → 数据完整性确认)。
⑤ 数据验收/安全防御方案
完成数据恢复后,我司将安排数据分析工程师进行二次检查确认数据恢复完整性,充分保障客户的数据恢复权益,二次检测确认后,通知客户进行数据验证。
客户对数据进行数据验证完成后,我司将指导后续相关注意事项及安全防范措施,并可提供专业的企业安全防范建设方案及安全顾问服务,抵御勒索病毒再次入侵。
更多资讯 扫码加入群组交流
