前言
勒索攻击已经成为了全球最大的网络威胁,越来越多的黑客组织开始加入到勒索病毒攻击活动,目前勒索病毒黑客组织大致可以分为两类,一类攻击目标主要以TO C(个人)为主,一类攻击目标主要以TO B(企业)为主,前者的勒索金额主要为几百美元到几万美元不等,后面的勒索金额主要为几十万美元到几千万美元为主,前者的攻击手法以捆绑伪装其它程序为主,后者的攻击手法以APT定向攻击手法为主,笔者在之前的文章都已经详细讲解过这些攻击手法,可以预见,未来几年勒索病毒攻击仍然是全球最大的网络威胁,同时未来几年不管是针对TO C,还是针对TO B的攻击都会越来越流行,个人和企业都要提高安全意识,目前大部分主流勒索病毒都是无法解密的,以防为主。
笔者在某油管视频下载网站上下载一个网络安全学习视频的时候,突然弹出一个网页,给我下载了一个Windows更新程序,如下所示:
URL为:hxxps://hortel.info/clickid=17287,下载显示为Windows10-11系统更新程序,本来打算安装更新程序,正好联想到前段时间Magniber勒索病毒通过Windows更新程序传播感染受害者,并带有有效数字签名,对该MSI更新安装程序进行了分析,发现果然是Magniber勒索病毒程序,还好长了一个心眼,没有直接点击安装,不然就中招了,现在勒索病毒真的是无处不在、无孔不入啊,全球基本上每天都有企业或个人中招,一定要提高安全意识。
既然这个勒索病毒的最新变种被我遇到了,那正好分析一下,看看这个勒索病毒黑客组织最近在玩些什么套路,很可能还会有其他人会遇到,同时给大家提个醒,不管是软件安装程序,系统更新程序,漏洞补丁程序,或者其他人发给你的程序或文档,都不要随意安装或打开,安全意识真的很重要,一定要到正规的官方指定的网站下载安装。
分析
1.下载的安装程序,时间为2022年5月3日3:55分更新的,如下所示:
2.解析MSI安装程序的相关信息,如下所示:
3.解包MSI安装程序,如下所示:
4.安装程序的InstallExecuteSequence.idt文件,发现一个可疑的安装u13n05fpc4,如下所示:
5.u13n05fpc4是安装的什么呢?查看自定义安装CustomAction.idt文件,如下所示:
6.安装加载hj8i35ab程序,通过解包MSI安装程序,得到hj8i35ab程序,如下所示:
7.hj8i35ab是一个恶意DLL程序,其导出函数为e65nrd8nai,如下所示:
8.动态调试该DLL,如下所示:
9.在内存中解密出整个shellcode代码,如下所示:
10.执行上面的shellcode代码,将其中的一段shellcode代码注入到svchost进程,注入的shellcode代码,如下所示:
11.在C:\Users\Public目录下生成XML恶意脚本文件,如下所示:
脚本内容,如下所示:
12.再生成第二个脚本文件,如下所示:
脚本内容,如下所示:
然后调用regsvr32.exe程序,执行恶意脚本,如下所示:
shellcode恶意代码会启动fodhelper.exe和compmgmtlauncher.exe,然后注入启动一段shellcode恶意代码,如下所示:
13.生成加密后的文件后缀名amcqeuig,如下所示:
排除一些不加密的文件目录,如下所示:
加密文件过程,如下所示:
14.加密后的文件,如下所示:
15.弹出的勒索提示信息,如下所示:
16.点击进入之后,如下所示:
17.生成的勒索提示信息文件内容,如下所示:
18.使用TOR浏览器打开该勒索病毒暗网URL之后,如下所示:
聊天信息窗口,如下所示:
好了,该勒索病毒黑客组织的最新变种基本就分析完了,通过分析发现该勒索病毒应该是一个技术相对成熟的黑客组织开发并维护的,该勒索病毒从最开始被发现到现在已经有好几个版本的变种样本,而且所有的函数都是使用系统调用的方式执行,有兴趣的朋友可以详细分析研究一下该勒索病毒的几个变种版本。
总结
还好笔者平时一直在关注各种流行恶意软件的攻击活动,同时安全意识相对也比较高,不然可能就真中招了,哈哈哈哈。
笔者曾深度跟踪和研究过上百种主流的勒索病毒黑客组织,现在勒索病毒攻击手法多种多样,并且通过之前跟踪的一些大型的勒索病毒黑客组织的攻击活动,可以发现勒索病毒黑客组织APT式定向化勒索攻击的技术手段越来越高,APT式定向勒索攻击会成为未来针对企业进行勒索攻击的主流方式,同时针对个人的勒索攻击也在逐步流行,勒索病毒黑客组织无时无刻不在寻找着新的攻击目标,可以预测,勒索病毒攻击在未来几年仍然将是全球最大的网络威胁,不管是个人还是企业,一定要提高安全意识。
勒索病毒攻击技术已经越来越成熟与复杂,同时勒索病毒黑客组织RAAS平台化模式又让勒索攻击的成本越来越低,勒索攻击的暴利导致越来越多的大大小小的黑客组织都纷纷加入到勒索病毒攻击活动当中,更多勒索病毒攻击技术和手法,可以参考笔者之前的文章。
大家在下载一些软件的时候,一定要到正规的官方网站进行下载,同时要检测软件安装包的数字签名等信息是否完整且有效,现在各种新型恶意软件不断涌现,攻击手法多种多样,防不胜防,一定要提高安全意识,一不小心可能你的电脑就被植入了勒索、挖矿、APT木马后门、僵尸网络等。