Koxic 勒索软件在韩国传播

逆向病毒分析 2年前 (2022) admin
511 0 0

作者:ASEC BLOG
译者:知道创宇404实验室翻译组
原文链接:https://asec.ahnlab.com/en/42343/

据悉,Koxic勒索软件正在韩国境内传播。它在今年早些时候首次被发现,最近该团队发现,一个外观和内部勒索笔记都经过修改的文件被检测到,并被ASD基础设施屏蔽。

当感染时,“.KOXIC_[Random string]”扩展名将添加到加密文件的名称中,并在每个目录中生成TXT文件勒索通知。勒索信的文件名如下。

  • WANNA_RECOVER_KOXIC_FILEZ_[Random string].txt
Koxic 勒索软件在韩国传播

图1.加密文件和赎金说明示例
 

最近收集的勒索信与BlueCrab(Sodinokibi,REvil)勒索软件的勒索笔记相似,该勒索软件曾在韩国发行。

BlueCrab有自己的网站,并指定用户应该通过TOR浏览器访问它。与BlueCrab相反,Koxic勒索软件通过电子邮件指导联系。

在过去收集的Koxic勒索软件样本中,有些样本的勒索笔记完全不同,有些则与BlueCrab格式几乎相同。但这两个勒索软件之间似乎没有直接联系,因为它们的代码没有相似之处。

Koxic 勒索软件在韩国传播

图2.比较Koxic和BlueCrab的赎金记录
 

在这个样本的勒索信中,有一条威胁信息告诉读者,他们的重要文件已经被下载,如果他们不达成协议,这些数据将会被泄露,然而,这从来没有发生过。

另外需要注意的是,部分名称被故意更改以隐藏UPX包装。这种技术被称为UPX技巧,是一种常用的方法,用UPX打包的文件被修改以阻碍分析或绕过AV软件的自动解包。

Koxic 勒索软件在韩国传播

图3.修改部分名称(UPX Trick)
 

当勒索软件被执行时,在文件被加密之前会执行以下一系列任务。

[调试检查]

使用这两个检查调试的API,如果调试过程正在运行,则当前函数将作为无限循环(递归调用)运行。如果正在运行调试进程,则会发生堆栈溢出。

Koxic 勒索软件在韩国传播

图4.检查调试的函数
 

[修改系统注册表]

cmd命令用于修改系统注册表。修改值以终止Defender并关闭通知,并且存在将远程会话到期时间延长到最大值的条目。

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxDisconnectionTime HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxIdleTime HKLM\SOFTWARE\Policies\Microsoft\Windows\HomeGroup\DisableHomeGroup HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\AllowFastServiceStartup HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\ServiceKeepAlive HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableOnAccessProtection HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScanOnRealtimeEnable HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\HideSCAHealth HKCU\Software\Policies\Microsoft\Windows\Explorer\DisableNotificationCenter

 

表1.经修改的登记册
 

[终止进程]

通过执行以下命令,Koxic勒索软件试图终止某些进程和服务。但是,因为命令是用换行符而不是“&”运算符分隔的,所以实际上只执行第一行。这被认为是黑客的一个错误。

cmd.exe /c taskkill /F /IM MSASCuiL.exe
taskkill /F /IM MSMpeng.exe
taskkill /F /IM msseces.exe

 

表2.进程终止命令
 

[删除VSC并终止服务]

执行删除卷影副本的命令和修改多个服务状态的其他命令。像上面的例子一样,只执行第一行,实际上只删除VSC。

cmd.exe /c vssadmin delete shadows /all /quiet
sc config browser
sc config browser start=enabled
sc stop vss
sc config vss start=disabled
sc stop MongoDB
sc config MongoDB start=disabled
sc stop SQLWriter
sc config SQLWriter start=disabled
sc stop MSSQLServerOLAPService
sc config MSSQLServerOLAPService start=disabled
sc stop MSSQLSERVER
sc config MSSQLSERVER start=disabled
sc stop MSSQLSQLEXPRESS start=disabled
sc stop ReportServer
sc config ReportServer start=disabled
sc stop OracleServiceORCL
sc config OracleServiceORCL start=disabled
sc stop OracleDBConsoleorcl
sc config OracleDBConsoleorcl start=disabled
sc stop OracleMTSRecoveryService
sc config OracleMTSRecoveryService start=disabled
sc stop OracleVssWriterORCL
sc config OracleVssWriterORCL start=disabled
sc stop MySQL
sc config MySQL start=disabled

 

表3.删除VSC和终止服务的命令
 

[收集系统信息]

勒索软件收集系统信息,并将其记录在%temp%目录中的随机文件名下,但没有发现泄漏此数据的例程。收集的信息包括IP地址、系统帐户信息、硬盘信息、网络适配器信息、硬件信息和操作系统信息。

Koxic 勒索软件在韩国传播

图5.收集的系统信息示例
 

[更改进程优先级并授予特权]

勒索软件将自己的进程优先级升级为“高”,并检查和修改(添加)进程令牌权限。添加的权限如下表所示。

Koxic 勒索软件在韩国传播

图6.更改流程优先级
 

SeBackupPrivilege, SeRestorePrivilege, SeManageVolumePrivilege, SeTakeOwnershipPrivilege

 

表4.修改的令牌权限
 

[文件加密]

绘制加密目标列表的线程和执行实际加密过程的多个线程同时运行,以逐个加密列表中的目标文件。加密过程包括在使用文件映射功能覆盖加密数据之前,先更改原始文件的名称。这里使用的函数调用流程如下。

MoveFileExW – CreateFileMappingW – MapViewOfFile – [Encryption] – UnmapViewOfFile

 

表5.文件加密流程
 

加密算法是AES CBC模式,它使用32字节长的密钥和16字节的IV。

值得注意的一点是,当对文件进行加密时,它们是在16字节块中完成的,但对最后一个块不使用填充。因此,将文件划分为16个字节后,文件末尾的剩余部分不加密,而保留原始数据。

似乎开源libtomcrypt被原样用于加密代码。

用于文件加密的AES密钥通过RSA加密后保存在勒索信的末尾。IV值以纯文本的形式添加到加密密钥后面,最终变成以下内容。

Koxic 勒索软件在韩国传播

图7.赎金说明中保存的加密AES密钥和IV(带下划线)示例
 

文件加密完成后,将在%TEMP%目录中创建勒索通知,并使用记事本打开。

[加密异常]

  • 扩展

诸如“.ps1”和“rtp”之类的条目看起来像是错误的。

.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf, .ps1., .rom, rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx,

 

表6.加密排除的扩展
 

  • 路径

., .., windows, System Volume Information, SysReset, Config.Msi, bootfont.bin, boot.ini, ntuser.dat, desktop.ini, recycle.bin, $windows.~ws, tor browser, boot, system volume information, perflogs, google, application data, windows, programdata, windows.old, appdata, mozilla, iconcache.db, ntldr, ntuser.dat.log, thumbs.db, bootsect.bak, ntuser.ini, autorun.inf, All Users, microsoft,

 

表7.加密排除的路径
 

AhnLab产品使用以下别名检测并阻止Koxic勒索软件。

[文件检测]
– Ransomware/Win.KoxicCrypt.R533926 (2022.11.11.00)
– Trojan/Win.Wacatac.C5290617 (2022.11.04.00)
– Trojan/Win.Generic.C4963639 (2022.02.11.01)

[行为检测]
– Ransom/MDP.Delete.M2117
– Malware/MDP.Behavior.M2771
– Ransom/MDP.Decoy.M4475

[IOC信息]
MD5
e9fdad2df8f8b95398f3c8f27e940f5d
3c4fa896e819cb8fada88a6fdd7b2cc7
01a4208ab9d4b2cfa87ffbdef2f8ab78

 

原文始发于知道创宇:Koxic 勒索软件在韩国传播

版权声明:admin 发表于 2022年11月29日 上午10:39。
转载请注明:Koxic 勒索软件在韩国传播 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...