WannaCry算個(gè)啥?新型勒索軟件Anatova開始爆發(fā)
折腰的五斗米
在不斷探索新的網(wǎng)絡(luò)安全威脅的過(guò)程中,邁克菲實(shí)驗(yàn)室(McAfee Labs)發(fā)現(xiàn)了一個(gè)新的勒索軟件家族,并將它稱之為“Anatova”(基于贖金票據(jù)的命名)。需要說(shuō)明的是,Anatova是在一個(gè)私有P2P網(wǎng)絡(luò)中被發(fā)現(xiàn)的。在經(jīng)過(guò)了初步分析以及確保其客戶已經(jīng)受到了保護(hù)之后,邁克菲實(shí)驗(yàn)室決定將這一發(fā)現(xiàn)公之于眾。
Anatova已出現(xiàn)在全球多個(gè)國(guó)家
邁克菲實(shí)驗(yàn)室認(rèn)為,Anatova很可能會(huì)發(fā)展成為一種極其嚴(yán)重的網(wǎng)絡(luò)安全威脅,因?yàn)樗哂屑虞d額外模塊以擴(kuò)展其功能的能力。此外,它還會(huì)檢查網(wǎng)絡(luò)共享是否已經(jīng)開啟,并加密這些共享上的文件。
邁克菲實(shí)驗(yàn)室還認(rèn)為,Anatova的開發(fā)者在惡意軟件開發(fā)方面有著豐富的經(jīng)驗(yàn)。因?yàn)?,每一個(gè)Anatova樣本都擁有自己獨(dú)特的密鑰以及在其他勒索軟件家族中很少看到的函數(shù)。
作為一款勒索軟件,Anatova的主要目標(biāo)是在向受害者發(fā)出贖金票據(jù)之前加密受感染系統(tǒng)上的所有文件。攻擊者要求受害者支付10達(dá)世幣(DASH)作為贖金——目前約價(jià)值700美元,與其他勒索軟件家族,這個(gè)贖金金額已經(jīng)相當(dāng)高了。
在本周二(1月22日)發(fā)表的一篇文章中,邁克菲實(shí)驗(yàn)室通過(guò)其中一個(gè)樣本“170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0”詳細(xì)闡述了Anatova的技術(shù)細(xì)節(jié)。
Anatova概述
Anatova通常使用游戲或應(yīng)用程序的圖標(biāo)來(lái)欺騙用戶下載它,并包含一個(gè)用來(lái)請(qǐng)求各種管理權(quán)限的列表。
樣本的二進(jìn)制文件信息
不難看出,Anatova勒索軟件實(shí)際上是一個(gè)64位應(yīng)用程序,編譯日期為2019年1月1日。這里分析的樣本大小為307KB,但由于不同樣本所包含的資源也不同,因此這個(gè)大小并不是固定的。除去所有資源,Anatova的大小實(shí)際上只有32 KB——一個(gè)非常小的程序,但卻極具破壞性。
Anatova具備一些強(qiáng)大的靜態(tài)分析保護(hù)技術(shù),這使得對(duì)它的分析變得有些棘手:
嵌入在可執(zhí)行文件中的大多數(shù)字符串都是加密的(Unicode和Ascii),需要使用不同的密鑰來(lái)解密它們。
90%的調(diào)用是動(dòng)態(tài)的,且只使用以下非可疑的Windows API和C語(yǔ)言標(biāo)準(zhǔn)庫(kù):GetModuleHandleW、LoadLibraryW、GetProcAddress、ExitProcess和MessageBoxA。
當(dāng)邁克菲實(shí)驗(yàn)室的研究人員在IDA Pro中打開樣本二進(jìn)制文件(包括最新版本的IDA)時(shí),出現(xiàn)了分析失敗的情況。但他們無(wú)法確定這是由于IDA Pro自身的一個(gè)bug,還是Anatova的開發(fā)者故意造成的。
IDA Pro 7.2報(bào)錯(cuò)
1.0版本的獨(dú)特之處
由于這是一個(gè)新出現(xiàn)的勒索軟件家族,因此邁克菲實(shí)驗(yàn)室的研究人員在Anatova的代碼中沒(méi)有找到任何版本號(hào),故而只能認(rèn)為它是1.0版本。
Anatova執(zhí)行的第一個(gè)操作是獲取庫(kù)“kernel32”的模塊句柄,并使用函數(shù)“GetProcAddress”從中獲取29個(gè)函數(shù)。
解密字符串后得到kernel32函數(shù)
如果Anatova無(wú)法獲取到kernel32的模塊句柄,或者找不到某些函數(shù),它將退出而不執(zhí)行任何加密。
接下來(lái),Anatova將嘗試創(chuàng)建一個(gè)具有硬編碼名稱的互斥鎖(對(duì)于本文分析的樣本而言,互斥鎖的名稱是6a8c9937zfipz309uzmzyvnwscpb2pr2mex5sy7b1xgbruoo)。但值得注意的是,對(duì)于不同的樣本而言,互斥鎖的名稱也不同。如果互斥鎖被創(chuàng)建并獲取到了句柄,它將調(diào)用“GetLastError”函數(shù),并查看最后一個(gè)錯(cuò)誤是“ERROR_ALREADY_EXISTS”還是“ERROR_ACCESS_DENIED”。實(shí)際上,這兩個(gè)錯(cuò)誤都意味著這個(gè)互斥對(duì)象的前一個(gè)實(shí)例的存在。如果是這種情況,Anatova將跳轉(zhuǎn)到內(nèi)存清理釋放執(zhí)行流。
檢查互斥鎖
在完成這個(gè)檢查之后,Anatova將使用上述相同的流程從庫(kù)“advapi32.dll”、“Crypt32.dll”和“Shell32.dll”中獲取一些函數(shù)。
同樣,如果Anatova無(wú)法獲得這些庫(kù)的模塊句柄,或者找不到它所需要的函數(shù),它將跳轉(zhuǎn)到內(nèi)存清理釋放執(zhí)行流并退出。
邁克菲實(shí)驗(yàn)室還發(fā)現(xiàn),Anatova還會(huì)檢查已登錄或活動(dòng)用戶的用戶名,并與一個(gè)加密的名稱列表進(jìn)行對(duì)比。如果匹配到其中任意一個(gè)名稱,它也將跳轉(zhuǎn)到內(nèi)存清理釋放執(zhí)行流并退出。
這個(gè)加密的用戶名列表包括:
LaVirulera
tester
Tester
analyst
Analyst
lab
Lab
Malware
malware
那么,Anatova為什么要執(zhí)行上面這個(gè)操作呢?這是由于一些分析人員或虛擬機(jī)/沙箱在其設(shè)置中可能會(huì)使用這些默認(rèn)用戶名。這也就意味著,Anatova將不會(huì)在此類主機(jī)機(jī)器/沙箱上進(jìn)行加密。
在完成用戶檢查之后,Anatova還將檢查系統(tǒng)語(yǔ)言。顯然,Anatova將一些國(guó)家的用戶排除在了感染目標(biāo)之外。
具體來(lái)講,Anatova不會(huì)感染以下國(guó)家的用戶:
所有獨(dú)聯(lián)體國(guó)家
敘利亞
埃及
摩洛哥
伊拉克
印度
將獨(dú)聯(lián)體國(guó)家排除在外并不奇怪,這通常都意味著該惡意軟件的開發(fā)者很可能就來(lái)自這些國(guó)家之一。但是,邁克菲實(shí)驗(yàn)室的研究人員表示他們并不清楚Anatova為什么將其他一些國(guó)家也排除在了感染目標(biāo)之外。
檢查系統(tǒng)語(yǔ)言
在完成系統(tǒng)語(yǔ)言檢查之后,Anatova還會(huì)去查找一個(gè)flag。在邁克菲實(shí)驗(yàn)室捕獲的所有樣本中,這個(gè)flag的值都為0,但如果將它的值改為1,Anatova則會(huì)加載兩個(gè)DLL,其名稱(解密后)為“extra1.dll”和“extra2.dll”。這可能表明,Anatova將在后續(xù)版本中擴(kuò)展其功能。
加載額外的模塊
在此之后,Anatova將枚舉系統(tǒng)中的所有進(jìn)程并將它們與一份包含“steam.exe”、“sqlserver.exe”等在內(nèi)的進(jìn)程列表進(jìn)行對(duì)比。如果匹配到了這些進(jìn)程,Anatova將殺死它們。
Anatova的下一步操作是使用crypto API創(chuàng)建一對(duì)RSA密鑰,而該API將對(duì)所有字符串進(jìn)行加密。這里使用的函數(shù)與其他勒索軟件家族使用的函數(shù)幾乎完全相同,例如GandCrab或Crysis,以確保使用的密鑰對(duì)于不同的用戶和文件來(lái)說(shuō)都是唯一的。
如果Anatova無(wú)法創(chuàng)建密鑰,它將跳轉(zhuǎn)到內(nèi)存清理釋放執(zhí)行流并退出。
接下來(lái),Anatova將使用crypto API“CryptGenRandom”函數(shù)生成一個(gè)32位的隨機(jī)key和一個(gè)8字節(jié)的值,以在運(yùn)行時(shí)使用Salsa20算法和blob密鑰對(duì)文件進(jìn)行加密。
下一步操作是準(zhǔn)備一個(gè)內(nèi)存緩沖區(qū),并對(duì)所有的信息(Salsa20 key、Salsa20 IV和RSA密鑰)。Anatova會(huì)使用函數(shù)“CryptBinaryToStringA”在BASE64中創(chuàng)建一個(gè)大字符串,而這個(gè)BASE64字符串將被寫入贖金票據(jù)中。
此外,Anatova稍后還會(huì)清除計(jì)算機(jī)內(nèi)存中的key、IV和RSA密鑰值,以防止任何人從內(nèi)存中轉(zhuǎn)儲(chǔ)這些信息并創(chuàng)建解密工具。
當(dāng)密鑰在內(nèi)存緩沖區(qū)中加密時(shí),Anatova將枚舉所有邏輯單元,并搜索DRIVE_FIXED類型(例如,普通硬盤)或DRIVE_REMOTE(用于掛載的遠(yuǎn)程網(wǎng)絡(luò)共享)的所有設(shè)備。Anatova將嘗試加密這些設(shè)備上的幾乎所有的文件,這意味著如果一個(gè)企業(yè)被感染,那么它很可能將遭受重大的損失。
檢查所有邏輯單元
Anatova不會(huì)加密的文件夾包括“Windows”、“Program Files”和“Program Files(x86)”等。這對(duì)于許多勒索軟件家族來(lái)說(shuō)都很常見(jiàn),因?yàn)槔账鬈浖_發(fā)者希望避免破壞操作系統(tǒng),而是瞄準(zhǔn)高價(jià)值的文件。類似的,Anatova也不會(huì)加密擴(kuò)展名為.exe、.dll和.sys的文件,因?yàn)樗鼈儗?duì)操作系統(tǒng)來(lái)說(shuō)也很重要。
檢查文件名和擴(kuò)展名
在完成對(duì)文件名和擴(kuò)展名的檢查之后,Anatova還會(huì)打開文件并讀取它的大小,并將它與1MB進(jìn)行對(duì)比。這是因?yàn)?,Anatova只會(huì)加密大小為1MB及以下的文件,以避免與因加密大文件而浪費(fèi)時(shí)間(它似乎希望以最短的事件完成加密)。
接下來(lái),Anatova則將會(huì)創(chuàng)建一個(gè)32位的隨機(jī)值作為Salsa20 key,以及另一個(gè)8字節(jié)的值作為Salsa20 IV。
使用這些值,它將讀取內(nèi)存中的所有文件或大小為1MB及以下的文件,并使用key和IV使用Salsa20算法加密這些文件。
加密函數(shù)
當(dāng)加密完成之后,Anatova會(huì)在被加密文件的文件夾中留下一份贖金票據(jù)。贖金票據(jù)承諾可以為受害者免費(fèi)解密一個(gè)大小為200KB及以下大小的.jpg文件,作為攻擊者能夠解密被加密文件的證據(jù)。
贖金票據(jù)示例
在完成所有這些之后,Anatova還將對(duì)卷影副本連續(xù)進(jìn)行10次刪除。與其他大多數(shù)勒索軟件家族一樣,它使用的是vssadmin程序(需要管理員權(quán)限)來(lái)運(yùn)行和刪除卷影副本。
刪除卷影副本10次
最后,當(dāng)所有操作都完成之后,Anatova還將跳轉(zhuǎn)到內(nèi)存清理釋放執(zhí)行流。正如前面所提到的那樣,這主要是為了防止轉(zhuǎn)儲(chǔ)任何可能有助于創(chuàng)建解密工具的內(nèi)存代碼。
THEEND
免責(zé)聲明:凡注明為其它來(lái)源的信息均轉(zhuǎn)自其它平臺(tái),由網(wǎng)友自主投稿和發(fā)布、編輯整理上傳,對(duì)此類作品本站僅提供交流平臺(tái),不為其版權(quán)負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。若有來(lái)源標(biāo)注錯(cuò)誤或侵犯了您的合法權(quán)益,請(qǐng)作者持權(quán)屬證明與本站聯(lián)系,我們將及時(shí)更正、刪除,謝謝。聯(lián)系郵箱:xiali@infoobs.com
評(píng)論請(qǐng)先登錄~
最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))
更多暫無(wú)評(píng)論
精選文章
-
強(qiáng)化數(shù)字賦能 點(diǎn)亮數(shù)字未來(lái),中海昇物聯(lián)榮膺 “2023基建數(shù)字化轉(zhuǎn)型突出貢獻(xiàn)企業(yè)”
-
再傳捷報(bào),木倉(cāng)科技榮獲“人民交通突出貢獻(xiàn)獎(jiǎng)”
-
易建超:構(gòu)筑網(wǎng)絡(luò)空間的藍(lán)天白云
-
實(shí)力斬獲信創(chuàng)大獎(jiǎng) 紫光恒越開辟高質(zhì)量發(fā)展的信創(chuàng)新航路
-
毛磊:“數(shù)字商業(yè)”時(shí)代下產(chǎn)業(yè)互聯(lián)網(wǎng)全域應(yīng)用服務(wù)賦能企業(yè)升級(jí)
-
2024年,國(guó)產(chǎn)數(shù)據(jù)庫(kù)正醞釀新變局