Sodinokibi勒索病毒最新變種,竟通過混淆JavaScript代碼傳播

2021-01-07 砍柴網

近日,亞信安全截獲利用混淆的JS代碼傳播的Sodinokibi勒索病毒變種文件,其通過垃圾郵件附件傳播。由於附件是混淆的JS腳本文件,其可以輕鬆逃避殺毒軟體的檢測,一旦用戶點擊附件,計算機中的文件將會被加密。亞信安全將其命名為TROJ_FR.620727BA。

Sodinokibi勒索病毒首次出現在今年4月份,早期版本使用Web服務相關漏洞傳播,後來發現該勒索病毒通過垃圾郵件附件傳播,亞信安全曾經多次截獲此類垃圾郵件,其附件是偽裝的Word文檔,實際上是PE格式的可執行文件,其附件文件名稱通常為:關於你案件的文件.doc.exe,聯繫方式.doc.exe,來自最高法院的文件\錶殼材料.doc.exe,稅務局的文件\樣品填充.doc.exe等,這些帶有誘惑性的文件名,極易誤導用戶點擊。

攻擊流程解析

Sodinokibi勒索病毒最新變種詳細分析

原始樣本是一個混淆過的JS腳本,通過對數組內容的讀取獲取混淆後的具體代碼,內容如下:

通過動態調試,獲取到解混淆後正常的JS代碼,該腳本主要是利用PowerShell進一步去除混淆:

通過以上代碼,安全專家得知變量vhtsxspmssj是一個混淆的PowerShell腳本。去除混淆(將其中的感嘆號去除)後它將會被保存到jurhtcbvj.tmp中:

去除混淆後,通過PowerShell執行Base64加密的數據:

安全專家將其中加密的數據進行Base64解密,如下圖所示,其仍然是通過將數據Base64加密,然後利用PowerShell進行解密後執行,主要是執行install1函數:

安全專家對其中加密的數據進行解密,本次解密主要是利用PowerShell腳本來進行,將運行解密後的數據輸出到文件中,以便安全專家進一步分析。安全專家修改原始的腳本,內容如下:

運行腳本後,安全專家發現本次加密數據其實的是一個PE文件,通過查看文件信息,此文件是一個.NET模塊。安全專家將此命名為dump_1.dll文件:

dump_1.dll文件分析(.NET模塊)

安全專家對此.NET文件進行逆向分析,主要是查找原始腳本中執行的install1()函數,該函數的主要功能是將主要數據Base64加密,然後使用NET中的相關解密函數解密後加載到內存中執行:

安全專家將base64加密的數據手動進行base64解密,發現它是一個PE文件,查看文件信息,是使用Borland Delphi編寫的DLL文件,安全專家將此命名為dump_2.dll文件:

dump_2.dll文件分析

安全專家對相關的DLL(dump_2.dll)文件進行逆向分析,通過查看導入函數,安全專家發現了有對資源操作的API,可能是該文件的資源截取存在可疑數據:

安全專家通過查看dump_2.dll文件的資源數據,發現是一個被加密的數據,資源段名稱為HELP,通過查看反彙編相關代碼,該加密數據用7B異或,即可獲取解密後的相關數據:

安全專家可以選擇動態調試解密,在知道如何解密的情況下,也可以使用二進位工具手動進行異或解密。解密後,安全專家發現又是一個PE文件,安全專家命名為dump_3.dll,繼續對此文件進行分析:

dump_3.dll文件分析

安全專家查看該文件的信息,發現其信息與dump_2.dll基本類似,查看反彙編代碼,同樣是使用了資源截取存放payload。安全專家將此payload命令為dump_4.dll文件:

它還會檢查AhnLab相關服務和文件是否存在,AhnLab(安博士)是韓國的一家殺毒軟體:

通過進一步查看其反彙編代碼,加載payload的方式是使用Process Hollowing技術。如果找到AhnLab勒索軟體的服務或者文件,它將會通過Process Hollowing將此payload注入到該安全產品autoup.exe進程中。如果沒有安裝AhnLab勒索軟體,它將會通過Process Hollowing將此payload注入到當前進程(PowerShell進程實例):

dump_4.dll文件分析(真正的勒索軟體主體)

安全專家查看dump_3.dll資源區域,存在加密的數據,使用同樣的方式7B進行異或,得到勒索軟體主體模塊Payload:

安全專家查看文件信息,發現區段中有一個異常的節,通過反彙編代碼可以看到,此節內的數據是加密的,需要解密才可以知道其具體內容(這與以往的Sodinokibi勒索病毒是一樣的,都有一個特殊的節存放著加密的配置文件信息,可能這個節的名字不一樣):

安全專家通過反彙編和動態調試,該區段果然與以往的Sodinokibi勒索病毒一樣,存放著配置信息,配置信息包括白名單目錄、文件擴展名以及域名信息等:

白名單目錄:

隨機域名列表信息:

刪除系統卷影,讓文件恢復變得更加困難:

加密後的桌面壁紙:

加密後文件的擴展名為.vx525c61

加密勒索通知信息:

亞信安全教你如何防範

 不要點擊來源不明的郵件以及附件;

 不要點擊來源不明的郵件中包含的連結;

 採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼;

 打開系統自動更新,並檢測更新進行安裝;

 儘量關閉不必要的文件共享;

 請注意備份重要文檔。備份的最佳做法是採取3-2-1規則,即至少做三個副本,用兩種不同格式保存,並將副本放在異地存儲。

亞信安全產品解決方案

 亞信安全病毒碼版本15.309.60,雲病毒碼版本15.309.71,全球碼版本15.311.00已經可以檢測,請用戶及時升級病毒碼版本。

IOCs

3e974b7347d347ae31c1b11c05a667e2

相關焦點

  • Sodinokibi勒索病毒最新變種,解密工具更新到2.0版本
    ,目前已經發現的一些傳播方式,如下所示:2020年1月16日,一個朋友公司被這款勒索病毒加密了,勒索病毒相關提示信息,如下所示:解密網站信息,如下所示:2019年12月20日左右,跟蹤發現此勒索病毒運營團隊在年底的時候更新了2019年的最後一個Sodinokibi勒索病毒的變種版本,從獲取的樣本得到的PDB信息為D:\Coding\!
  • 勒索病毒是什麼?勒索病毒出現變種了?你知道它是通過什麼途徑傳播...
    勒索病毒出現變種,勒索病毒是一種新型的計算機病毒,5月12日全球多個國家都受到勒索病毒的侵襲,導致整個文件被加密需要支付贖金才能解密。5月14日勒索病毒出現變種加快了傳播速度嚴重影響網絡的運行,變種勒索病毒該如何應對呢?下面讓我們一起去了解一下勒索病毒。
  • Paradise勒索病毒曝新變種,竟通過IQY文件擴散
    近日,安全研究人員發現了Paradise勒索病毒的最新變種,其竟利用Internet Query Files(IQY)文件來擴散,該勒索病毒家族過去從未用過這類文件。該勒索病毒是通過含有IQY附件文件的垃圾郵件來擴散。當附件文件一旦被開啟,就會向不法分子的幕後操縱(C&C)伺服器取得一個惡意的Excel公式。該公式含有一道命令會執行PowerShell指令去下載一個執行文件。研究人員發現,這項針對亞洲某機構的攻擊只持續了不到兩天。如何防範此類威脅?
  • Sodinokibi勒索病毒變種來襲
    網安預警近日,亞信安全截獲Sodinokibi勒索病毒最新變種文件,該變種文件通過釣魚郵件的附件進行傳播,其附件偽裝成Excel文檔,文件名為「付款發票.xlsx.exe」,利用社會工程學誘導用戶點擊。
  • 瑞星提醒:勒索病毒GlobeImposter最新變種在國內大範圍傳播
    近日,勒索病毒GlobeImposter最新變種在國內大範圍傳播,包括很多醫院在內的機構遭受了攻擊。早在去年10月份,瑞星便發出GlobeImposter勒索病毒變種預警,呼籲用戶及時做好防禦措施。
  • 「勒索病毒」變種來襲
    「勒索病毒」變種來襲 四川高校學生中招四川高校學生中招勒索病毒 專家:這一周將是「高危期」   14日,國家網絡與信息安全信息通報中心緊急通報:監測發現,在全球範圍內爆發的「想哭」勒索病毒出現了變種:「想哭」2.0版,與之前版本的不同是,這個變種不能通過註冊某個域名來關閉病毒的傳播,該變種傳播速度可能會更快。請廣大網民儘快升級安裝Windows作業系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染。  這波勒索病毒為何如此兇猛?如何才能防範變種病毒?
  • 勒索病毒疑似變種:名稱從「想哭」變成「想妹妹」
    原標題:勒索病毒疑似變種:有的樣本名稱從「想哭」變成「想妹妹」從5月13日開始在全球蔓延的勒索病毒近日出現了新的變種。騰訊安全反病毒實驗室5月16日表示,他們觀測發現部分勒索病毒樣本已經從「想哭WannaCry」變成了「想妹妹(WannaSister)」。
  • 勒索病毒疑似變種:有的樣本名稱從「想哭」變成「想妹妹」
    從5月13日開始在全球蔓延的勒索病毒近日出現了新的變種。騰訊安全反病毒實驗室5月16日表示,他們觀測發現部分勒索病毒樣本已經從「想哭WannaCry」變成了「想妹妹(WannaSister)」。附騰訊安全反病毒實驗室發布的報告摘要WannaCry勒索病毒時間軸傳播方式根據目前我們掌握的信息,病毒在12日大規模爆發之前,很有可能就已經通過掛馬的方式在網絡中進行傳播。
  • 勒索病毒出現"變種"傳播或更快 專家:及時更新系統補丁
    東方網記者徐程5月15日報導:一種名為「WannaCry」的勒索病毒近日在全球範圍內大規模爆發,我國教育、銀行、交通等多個行業也遭受不同程度影響。就在昨天(14日)下午,國家網絡與信息安全信息通報中心緊急通報:監測發現,在全球範圍內爆發的WannaCry勒索病毒出現了變種:WannaCry2.0,與之前版本的不同是,這個變種取消了KillSwitch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。國家網際網路應急中心專家建議,廣大用戶要及時更新Windows已發布的安全補丁,定期在不同的存儲介質上備份數據。
  • Sodinokibi解密工具,可解密一千七百多個變種
    Sodinokibi勒索病毒在國內首次被發現於2019年4月份,2019年5月24日首次在義大利被發現,在義大利被發現使用RDP攻擊的方式進行傳播感染,這款病毒被稱為GandCrab勒索病毒的接班人,在短短幾個月的時間內,已經在全球大範圍傳播,近日筆者在某個渠道發現了此勒索病毒的解密工具,可解密此勒索病毒一千七百多種不同的變種樣本
  • 勒索病毒發生變種傳播速度或更快 一旦發現中毒機器立即斷網
    最新消息8:緊急通報:勒索病毒現變種傳播速度或更快【勒索病毒發生變種傳播速度或更快一旦發現中毒機器立即斷網】國家網絡與信息安全信息通報中心緊急通報:監測發現,在全球範圍內爆發的WannaCry勒索病毒出現了變種:WannaCry2.0,與之前版本的不同是,這個變種取消了KillSwitch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快
  • 勒索病毒Sodinokibi通過郵件傳播 黑客偽造QQ空間登錄頁面盜號
    1、勒索病毒Sodinokibi出現 通過電子郵件傳播安全機構 BSI 發布警告稱,有黑客通過將電子郵件偽裝成 BSI 的官方消息傳播 Sodinokibi 勒索病毒。黑客將一個微軟快捷方式偽裝成 PDF 文件,當受害人將其打開時便會被其指向的壓縮包附件感染。
  • FakeParadise勒索病毒變種頻出,360安全大腦國內首家支持解密!
    2019年10月23日,360安全大腦接到用戶求助,在公司電腦遭到勒索病毒的入侵後,資料庫被完全封鎖加密,同時,該用戶在文件夾中搜尋到了黑客留下的勒索信息。中招用戶曾通過勒索留言中的地址與黑客取得聯繫,對方竟索要價值1995美元的比特幣!
  • 通過JS腳本進行攻擊的GandCrab 5.0.4勒索病毒
    通過JS腳本進行攻擊的GandCrab 5.0.4勒索病毒 2018-12-13    威脅等級:★★★★GandCrab 5.0.4勒索病毒近期大面積爆發,該病毒變種通過多種方式傳播,有通過弱口令植入exe運行的,有通過js腳本最終釋放exe執行的,還有直接通過JS腳本執行後,內存執行PowerShell
  • 「預警」Paradise(天堂)勒索病毒捲土重來,新變種專注Flash漏洞
    安全預警今年4月,亞信安全曾發布Paradise(天堂)勒索病毒預警,該病毒一直非常活躍。近日,亞信安全又截獲Paradise勒索病毒最新變種文件。本次截獲的最新變種文件,將自身勒索主體代碼在內存中解密後執行,通過Flash漏洞(漏洞編號CVE-2018-4878)傳播,如果客戶使用較低版本的FlashPlayer將會存在網頁被掛馬攻擊的風險。亞信安全將其命名為Trojan.Win32.SODINOK.SM.hp。
  • 勒索、挖礦同時下手,這個Satan變種病毒有點「牛」
    雷鋒網3月3日消息,騰訊御見威脅情報中心發現Satan病毒最新變種,該變種病毒針對Windows系統和Linux系統進行無差別攻擊,然後在中招電腦中植入勒索病毒勒索比特幣、同時植入挖礦木馬挖礦門羅幣。
  • 聊聊最近幾款非常流行的勒索病毒
    ,在短短幾個月的時間內,已經在全球大範圍傳播,這款勒索病毒與GandCrab勒索軟體存在很多關聯, Sodinokibi勒索病毒是一種勒索即服務(RAAS)的模式進行分發和營銷的,並採用了一些免殺技術避免安全軟體檢測到,主要通過Oracle WebLogic漏洞、Flash UAF漏洞、網絡釣魚郵件、RDP埠、漏洞利用工具包以及攻擊一些託管服務提供商MSP等方式發起攻擊,這款勒索病毒最新的版本為
  • 翼火蛇安全:如何通過滲透測試抵抗勒索病毒
    在隨後的幾年裡,這一病毒被破解,這一病毒的加密密鑰被存儲在其原始碼中,但「AIDS」trojan病毒開創了隨後三十年的勒索病毒的先河。  二、2006年GPcode勒索病毒  2005年5月開始,勒索病毒開始更加猖獗,相較於之前的勒索病毒,GPcode運用RSA非對稱加密算法,並且加長密碼長度,極大的提高了病毒的強度。
  • 北京市三部門發出通知:建議立即處置勒索病毒變種
    《通知》指出,有關部門監測發現,WannaCry 勒索蠕蟲出現了變種:WannaCry 2.0,與之前版本的不同是,這個變種取消了所謂的Kill Switch,不能通過註冊某個域名來關閉變種勒索蠕蟲的傳播。
  • "WannaRen"勒索病毒大規模傳播,用戶做好自我防護!
    在檢測異常的第一時間,360安全大腦率先出擊,首家發現「WannaRen」勒索病毒來源並且關聯到幕後黑客團夥,並首家分析出真正的勒索攻擊代碼。經360安全大腦分析確認,「WannaRen」勒索病毒的作者正是此前借「永恆之藍」漏洞禍亂網絡的「匿影」組織。此次「匿影」組織一改借挖礦木馬牟利的方式,變換思路通過全網投遞「WannaRen」勒索病毒,索要贖金獲利。