导语: 网络安全公司 LMNTRIX 的专家在暗网俄罗斯黑客社区发现了一种名为 GandCrab 的新型勒索软件, 并对其进行了分析
在过去的三天里, LMNTRIX Labs 一直在追踪 GandCrab 勒索软件, 该样本通过 RIG 漏洞传播
我们分析的样本为: 5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011, 文件大小 129KB
感染
图 1:Ransom_GANDCRAB 检测
文件版本和资源如下所示:
图 2: 资源文件图标
图 3: 勒索软件样本版本信息
加密
在调试器中加载样本以进一步研究恶意软件的行为:
00401424|FF15 54F04000 CALL DWORD PTR DS:[<&KERNEL32.GlobalAlloc>];\GlobalAlloc
GlobalAlloc 函数用于内存管理, 主要用于解密或解码文件中的代码
图 4: 解码函数
遍历上面快照中突出显示的子进程: Address4011F1 执行所有的指令, 到达如下位置:
图 5: 跳到解密代码
进一步调试代码之后, 我们发现这个文件包含了一些反调试技巧:
上面的代码都紧紧围绕反调试我们还在代码中看到多个与网络相关的部件:
这些指令有选择性地调用网络连接函数在分析过程中, 我们观察到恶意软件联系以下域名:
ipv4bot.whatismyipaddress.com 用来检测网络的 IP 地址
a.dnspod.com 我们确认其在 Virustotal 的 Fortinet AV 中标记为恶意软件
注册表项和文件创建
父文件的副本释放在 %appdata%\Microsoft t 文件夹中, 文件名随机
并在创建的注册表项中定位相同的文件:
为找到文件名和注册表键值的随机性, 我们在执行文件之前恢复了干净状态 使用 < random name.exe > 创建副本文件 Runonce 键的值也是随机生成的 下面是一个例子:
随机值:
在%appdata%文件夹中, 恶意软件将释放名为 GDCB-DECRYPT.txt 的文本文件这包含恶意软件的赎金便条, 指示用户下载 Tor 浏览器后购买私钥:
图 6:GDGB-DECRYPT.txt
IOC
文件哈希:
SHA 256: 5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011
恶意域名:
a.dnspod.com
TOR 链接:
- hxxp://gdcbghvjyqy7jclk.onion.top/259a4fdc3766943
- hxxp:// gdcbghvjyqy7jclk.onion.casa/259a4fdc3766943
- hxxp://gdcbghvjyqy7jclk.onion.guide/259a4fdc3766943
勒索软件变种添加的文件扩展名:
.GDCB
注册表:
键: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE"值:"Random value name on each execution"
物理位置:
%appdata% \Microsoft 文件夹中, 文件名随机
结论
建议用户应用 IOC 详细信息设置警报以防止感染另外, 用户在收到不明用户的附件时应时刻谨慎
来源: http://jaq.alibaba.com/community/art/show?articleid=1484