研究分析GandCrab勒索软件

导语：网络安全公司LMNTRIX的专家在暗网俄罗斯黑客社区发现了一种名为GandCrab的新型勒索软件，并对其进行了分析。   在过去的三天里，LMNTRIX Labs一直在追踪GandCrab勒索软件，该样本通过RIG漏洞传播。我们分析的样本为：5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011，文件大小129KB。 感染 图1：Ransom_GANDCRAB 检测 文件版本和资源如下所示: 图2：资源——文件图标 图3：勒索软件样本版本信息 加密 在调试器中加载样本以进一步研究恶意软件的行为： 00401424|。FF15 54F04000 CALL DWORD PTR DS:[<&KERNEL32.GlobalAlloc>];\GlobalAlloc GlobalAlloc函数用于内存管理，主要用于解密或解码文件中的代码。 图4：解码函数 遍历上面快照中突出显示的子进程：Address4011F1。执行所有的指令，到达如下位置： 图5：跳到解密代码 进一步调试代码之后，我们发现这个文件包含了一些反调试技巧： 上面的代码都紧紧围绕反调试。我们还在代码中看到多个与网络相关的部件： 这些指令有选择性地调用网络连接函数。在分析过程中，我们观察到恶意软件联系以下域名： ipv4bot.whatismyipaddress.com ——用来检测网络的IP地址 a.dnspod.com ——我们确认其在Virustotal的Fortinet AV中标记为恶意软件。 注册表项和文件创建 父文件的副本释放在 %appdata%\Microsoft t文件夹中，文件名随机。 并在创建的注册表项中定位相同的文件： 为找到文件名和注册表键值的随机性，我们在执行文件之前恢复了干净状态。 使用创建副本文件。 Runonce键的值也是随机生成的。 下面是一个例子： 随机值: 在％appdata％文件夹中，恶意软件将释放名为GDCB-DECRYPT.txt的文本文件。这包含恶意软件的赎金便条，指示用户下载Tor浏览器后购买私钥： 图6：GDGB-DECRYPT.txt IOC 文件哈希: SHA 256: 5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011 恶意域名: a.dnspod.com TOR 链接: hxxp://gdcbghvjyqy7jclk.onion.top/259a4fdc3766943 hxxp:// gdcbghvjyqy7jclk.onion.casa/259a4fdc3766943 hxxp://gdcbghvjyqy7jclk.onion.guide/259a4fdc3766943 勒索软件变种添加的文件扩展名： .GDCB 注册表: 键: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE" 值: "Random value name on each execution" 物理位置: %appdata% \Microsoft文件夹中，文件名随机 结论 建议用户应用IOC详细信息设置警报以防止感染。另外，用户在收到不明用户的附件时应时刻谨慎。 本文翻译自：https://www.lmntrix.com/Lab/MobileLab_info.php?id=94 如若转载，请注明原文地址： http://www.4hou.com/technology/10271.html