安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
原文首发出处:
https://xz.aliyun.com/t/13777
先知社区 作者:熊猫正正
这几年勒索病毒已经在全球范围内大规模爆发,全球基本上每天都有企业被勒索病毒攻击,勒索攻击已经成为了全球网络安全最大的威胁,未来随着数字经济的发展,勒索攻击在未来几年,甚至很长的一段时间内仍然是全球最大的网络安全威胁,而且勒索攻击已经形成了一套非常完整的生态化体系运作流程,要想彻底解决勒索病毒需要涉及到很多层面,这也是为啥勒索攻击一直无法有效解决的原因。
最近几个国家联手打击LockBit勒索病毒黑客组织,可能LockBit勒索病毒黑客组织会像此前的GandCrab和Sodinokibi勒索病毒黑客组织一样消失,但是勒索攻击仍然会一直发生,正所谓野火烧不尽,春风吹又生,只要勒索攻击能给黑客组织带来巨大的经济利益,就会一直有新的勒索病毒黑客组织出现,需要持续关注。
笔者近期注意到一款新型的勒索病毒SWIFT,并对这款新型的勒索病毒进行了详细分析。
详细分析
1.样本的编译时间为2024年2月15日,如下所示:
2.获取操作系统语言,如果操作系统语言ID为0x429,则直接退出,如下所示:
3.判断当前进程是否以管理员或ROOT权限运行,如果以管理员权限运行,则创建互斥变量,如下所示:
4.获取勒索病毒加密密钥相关信息,并设置注册表项,如下所示:
5.设置注册表项HKEY_CURRENT_USERSoftwareProtonpublic,如下所示:
6.设置注册表项HKEY_CURRENT_USERSoftwareProtonfull,如下所示:
7.获取加密后的文件后缀名、勒索邮箱(备用邮箱)地址、受害者ID等相关信息,如下所示:
8.加密后的文件后缀名、勒索邮箱(备用邮箱)、受害者ID等信息,如下所示:
9.清理回收站的内容,如下所示:
10.通过CMD命令执行删除磁盘卷影幅本和禁用系统修复操作,如下所示:
相关命令,如下:
vssadmin Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
wmic SHADOWCOPY /nointeractive
11.将程序拷贝一份到系统开始自启动目录下,命名为此前生成的[ID].exe,如下所示:
12.解密获取进程列表信息,如下所示:
进程列表:
wxServer,wxServerView,sqlmangr,RAgui,supervise,Culture,Defwatch,winword,QBW32,QBDBMgr,qbupdate,axlbridge,httpd,fdlauncher,MsDtSrvr,java,360se,360doctor,wdswfsafe,fdhost,GDscan,ZhuDongFangYu,QBDBMgrN,mysqld,AutodeskDesktopApp,acwebbrowser,CreativeCloud,AdobeDesktopService,CoreSync,AdobeCEF,Helper,node,AdobeIPCBroker,sync-taskbar,sync-worker,InputPersonalization,AdobeCollabSync,BrCtrlCntr,BrCcUxSys,SimplyConnectionManager,Simply.SystemTrayIcon,fbguard,fbserver,ONENOTEM,wsa_service,koaly-exp-engine-service,TeamViewer_Service,TeamViewer,tv_w32,tv_x64,TitanV,Ssms,notepad,RdrCEF,sam,oracle,ocssd,dbsnmp,synctime,agntsvc,isqlplussvc,xfssvccon,mydesktopservice,ocautoupds,encsvc,tbirdconfig,mydesktopqos,ocomm,dbeng50,sqbcoreservice,excel,infopath,msaccess,mspub,onenote,outlook,powerpnt,steam,thebat,thunderbird,visio,wordpad,bedbh,vxmon,benetns,bengien,pvlsvr,beserver,raw_agent_svc,vsnapvss,CagService,DellSystemDetect,EnterpriseClient,ProcessHacker,Procexp64,Procexp,GlassWire,GWCtlSrv,WireShark,dumpcap,j0gnjko1,Autoruns,Autoruns64,Autoruns64a,Autorunsc,Autorunsc64,Autorunsc64a,Sysmon,Sysmon64,procexp64a,procmon,procmon64,procmon64a,ADExplorer,ADExplorer64,ADExplorer64a,tcpview,tcpview64,tcpview64a,avz,tdsskiller,RaccineElevatedCfg,RaccineSettings,Raccine_x86,Raccine,Sqlservr,RTVscan,sqlbrowser,tomcat6,QBIDPService,notepad++,SystemExplorer,SystemExplorerService,SystemExplorerService64,Totalcmd,Totalcmd64,VeeamDeploymentSvc
13.遍历上面的进程列表,并结束该进程,如下所示:
14.解密获取服务列表信息,如下所示:
服务列表:
wrapper,DefWatch,ccEvtMgr,ccSetMgr,SavRoam,Sqlservr,sqlagent,sqladhlp,Culserver,RTVscan,sqlbrowser,SQLADHLP,QBIDPService,Intuit.QuickBooks.FCS,QBCFMonitorService,msmdsrv,tomcat6,zhudongfangyu,vmware-usbarbitator64,vmware-converter,dbsrv12,dbeng8,MSSQL$MICROSOFT##WID,MSSQL$VEEAMSQL2012,SQLAgent$VEEAMSQL2012,SQLBrowser,SQLWriter,FishbowlMySQL,MSSQL$MICROSOFT##WID,MySQL57,MSSQL$KAV_CS_ADMIN_KIT,MSSQLServerADHelper100,SQLAgent$KAV_CS_ADMIN_KIT,msftesql-Exchange,MSSQL$MICROSOFT##SSEE,MSSQL$SBSMONITORING,MSSQL$SHAREPOINT,MSSQLFDLauncher$SBSMONITORING,MSSQLFDLauncher$SHAREPOINT,SQLAgent$SBSMONITORING,SQLAgent$SHAREPOINT,QBFCService,QBVSS,YooBackup,YooIT,vss,sql,svc$,MSSQL,MSSQL$,memtas,mepocs,sophos,veeam,backup,bedbg,PDVFSService,BackupExecVSSProvider,BackupExecAgentAccelerator,BackupExecAgentBrowser,BackupExecDiveciMediaService,BackupExecJobEngine,BackupExecManagementService,BackupExecRPCService,MVArmor,MVarmor64,stc_raw_agent,VSNAPVSS,VeeamTransportSvc,VeeamDeploymentService,VeeamNFSSvc,AcronisAgent,ARSM,AcrSch2Svc,CASAD2DWebSvc,CAARCUpdateSvc,WSBExchange,MSExchange,MSExchange
15.遍历上面的服务列表,并停止服务,如下所示:
16.遍历系统磁盘目录和网络共享目录,如下所示:
17.创建线程遍历磁盘目录下的文件,如下所示:
18.生成勒索提示信息文件,如下所示:
勒索提示信息文件名为#SWIFT-Help.txt,如下所示:
勒索提示信息文件内容,如下所示:
19.将遍历到的系统文件读取到内存中,然后进行加密操作,当文件大小小于0x96000时,直接加密整个文件,如下所示:
20.当文件大小大于0x96000时,采用分块加密的方式,按0x2000大小分块进行加密操作,如下所示:
21.加密算法使用AES+ECC算法,如下所示:
22.加密完成之后,通过MoveFileW函数对原文件进行重命名操作,如下所示:
23.加密后的文件后缀名为[[email protected]].SWIFT,如下所示:
24.获取桌面勒索提示信息,然后替换桌面背景图片,如下所示:
25.替换后的桌面背景,如下所示:
26.在C:ProgramData目录下生成[ID].bmp背景图片,如下所示:
27.设置相关的注册表项,将勒索提示信息写入到注册表项当中,如下所示:
28.将勒索提示信息写入到系统注册表项当中,如下所示:
29.调用命令打开勒索提示信息文件,显示勒索提示文件内容,如下所示:
到此整个勒索病毒样本就分析完毕了,该勒索病毒流程非常清晰,是一款最新的勒索病毒,后面可能还会出现它的其他变种样本。
威胁情报
总结结尾
未来几年勒索攻击仍然会一直流行,勒索病毒攻击未来几年仍然将会是全球最大的网络威胁,而且只会越来越多,现在的黑客组织大部分都是为了获利,勒索病毒攻击的巨在利益已经让一些APT黑客组织也纷纷加入到勒索病毒攻击活动当中,全球最赚钱的Lazarus APT组织就曾利用勒索病毒进行勒索攻击活动,现在越来越多的APT组织也开始加入到勒索攻击当中,在被勒索病毒“几重”勒索压力之下,很多企业最后会选择交纳赎金,这也间接导致勒索攻击会越来越流行的根本原因。
搞钱成了黑客组织的最大目的,勒索攻击的巨大利益,自然而然的会让更多黑客组织加入进来,而且数字货币的流行又为勒索病毒黑客组织提供了“天然”的保护,如果像以前那种通过银行汇款到某个帐户或者使用微信扫描支付等方式,这种很容易被查,现在的数字货币流行也是导致勒索攻击流行的原因之一,未来数字货币的问题不解决勒索攻击仍然会一直流行,需要持续关注。
安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家持续关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):针对新型SWIFT勒索病毒的详细分析报告