首页
论坛
课程
招聘

Sodinokibi新变种呈现定制化,疑似团伙连续作案

深信服千里目 2020-04-20 17:29

0x0 概述

近日,深信服安全团队连续关于勒索病毒的求助。经过分析排查发现,其中的勒索病毒文件相同,为Sodinokibi家族变种,且攻击痕迹也有相似之处,疑似同一伙黑客团体连续作案。

0x1 两次攻击的相似点

都创建了一个“intel”文件夹用于保存病毒文件及黑客工具:



 

都将病毒命名为“d.exe”并复制到启动目录:



 

0x2 病毒分析

动态获取程序运行所需API地址:


创建互斥量“Global\1DE3C565-E22C-8190-7A66-494816E6C5F5”,避免重复运行:


解密出加密配置信息:


配置信息为json格式文本,其包含如下信息。

豁免文件夹:

"tencent fies","wechat files","perflogs","program files","mozilla","windows.old","program files (x86)","intel","google","windows","application data","$windows.~bt","system volume information","appdata","msocache","programdata","tor browser","$windows.~ws","boot"

豁免文件名:

"ph.exe","bro.exe","ntuser.dat","sais.exe","xm64.exe","boot.ini","bootfont.bin","ntuser.dat.log","autorun.inf","xwdef.exe","ntldr","desktop.ini","ntuser.ini","bootsect.bak","ns.exe","dudok.exe","thumbs.db","iconcache.db"

豁免文件后缀:

"wpx","mpa","ani","drv","mod","idx","themepack","msu","icl","ocx","cpl","scr","adv","shs","prf","sys","diagpkg","msp","386","theme","com","nls","bat","msstyles","icns","lock","ics","nomedia",

"deskthemepack","diagcab","hlp","cmd","rtp","diagcfg","cur","rom","spl"

删除服务名:

"oracle","veeam","sql","vm","backup"

结束进程名:

"veeam","sql","vm","oracle","backup"

服务器域名:

praxis-management-plus.de;iqbalscientific.com;retroearthstudio.com;lange.host;starsarecircular.org;urclan.net;lorenacarnero.com......

另外还包含:加密公钥、base64编码后的勒索信息文本、勒索信息文件名格式等。

从上面的配置信息可以发现该病毒变种有如下定制化特点:

1、豁免文件夹除了系统文件夹、浏览器文件夹以保证系统以及浏览器能够正常使用外,还包含了腾讯以及微信的文件夹"tencent fies"、"wechat files",表明其攻击目标可能比较倾向中国地区,"intel"则是用于保存病毒文件及黑客工具的文件夹。

2、豁免文件名除了一些系统文件外,还包含常见的黑客工具名以及勒索病毒名,根据从以往Sodinokibi攻击现场获取到的文件,“xm64.exe”为密码抓取工具、“xwdef.exe”为防火墙关闭工具、“ns.exe”为内网扫描工具、“dudok.exe”为病毒文件名,而"ph.exe"、"bro.exe"、"sais.exe"也有可能是其他的黑客工具名。

解码出的勒索信息文本如下:


根据键盘布局对如下语言地区进行豁免:


创建注册表自启动项,如果加密过程中被关机,重启后将会继续执行加密:


执行powershell命令

“powershell -e

RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGMAbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==”,其中base64解码后为

“Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}”,其功能为删除卷影副本,防止通过卷影副本的方式恢复被加密文件:


枚举并删除相应服务:


结束相应服务进程:


遍历磁盘对文件进行加密:


修改桌面背景:


上传系统信息到服务器:


加密完成后病毒文件自删除:


加密后现象如下,将桌面背景改为蓝色,文件加密后被添加随机后缀,并生成txt格式的勒索信息文件:


0x3 日常加固建议

1、日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2、使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3、避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4、定期检测系统漏洞并且及时进行补丁修复。

深信服安全产品解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。


分享到:
最新评论 (0)
登录后即可评论