crab

crab
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
近期GandCrab勒索事件详细分析
阅读量 159597 | 评论 6

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-11-05 15:00:44

作者:Kshom@360观星实验室

勒索事件概述
从2018年9月底开始,根据数据监测GandCrab勒索有大规模爆发趋势,且版本更新频繁。在国内GandCrab目前仍以弱口令爆破、伪装正常软件诱导用户运行及漏洞传播这三种方式传播。当用户遭受感染时,系统磁盘被加密,文件后缀被修改为随机字母,并勒索交付数字货币赎金。 本文将对勒索事件应急中的一些经验与大家分享

PS: GandCrab作者曾向被加密的叙利亚受害者道歉公布了5.0.3以前版本的密钥,随后更新了5.0.4版本并将叙利亚排除在加密区域之外,但是在10月最新的5.0.5版本又将这个区域设定删除

样本勒索执行流程

勒索样本分析
虽然GandCrab勒索病毒更新比较频繁,但代码框架变动不大,为保持文章完整性,这里对勒索的流程和细节进行梳理,以10月最新的5.0.5版本分析为主。
MD5: C805528F6844D7CAF5793C025B56F67D

从GandCrabV4版本之后,作者对函数调用入口做了处理,增加静态分析难度,此处入口为 loc_4061B3

遍历进程,结束占用特定文件的进程,为能正常加密文件做准备

结束的进程如下

检测特定的互斥量

这里的互斥量对应了样本中嵌入的DLL,决定是否开启利用两个提权漏洞进行提权DLL通过xor 0x18解密后,内存执行并通过管道与主进程通信

通过VerifyVersionInfoW判断操作系统MajorVersion是否为6以上

判断当前进程权限及安全身份RID,判断是否大于0x1000,这是确认当前进程是否为system组启动,以上两步均是判断操作系统是否为win7以上

判断是否为俄语系键盘语言及输入法

5.0.4版本中作者将叙利亚列入未加密区域,在5.0.5中又将其删除

5.0.5如下图所示,5.0.4版本如上图所示

将系统盘磁盘卷区的序号与特定字符串拼接加密后计算hash值,以此创建Mutex变量

随后使用内置的密钥解密出RSA公钥

当前版本RSA公钥如下

查找是否存在相关杀软进程

从注册表中取处理器相关信息拼成字符串计算CRC32值

获取机器信息,生成ransomId并拼接成字符串

随后通过RC4对这部分数据加密,RC4密钥为”jopochlen”

加密后的数据如下

在GandCrabV5版本后,加密文件后生成后缀变为随机

提取中要加密文件的类型及其后缀

使用CryptGenKey及CryptExportKey生出并导出公私密钥对,并查找注册表HKCUSOFTWAREkeys_datadata及HKLMSOFTWAREkeys_datadata两项,作者检查HKCU及HKLM为确保样本在非管理员权限以上启动也可正常写入注册表

若这两个注册表项均不存在,则先创建HKLM(HKCU)SOFTWAREex_datadata项,并生成ext子项中存储此次勒索后缀。

生成RSA公钥加密后的密钥

将密钥信息写入到注册表HKLM(HKCU)SOFTWAREkeys_datadata的public和private中

若这些注册表项已经存在则会使用HKLM(HKCU)SOFTWAREkeys_datadata项中原有的密钥及对应的后缀继续加密

将加密提示写入到txt文件中

并将加密后的密钥Base64保存

创建线程开始加密

加密会分别枚举网络资源和本地文件,枚举网络资源如下

以下目录不加密

以下文件不加密

存在随机生成的字符串则在目录下生成XXXXX-DECRYPT.txt勒索信息文件,否则生成KRAB-DECRYPT.txt

使用随机生成的字符串为后缀,若不存在则使用KRAB后缀

递归遍历磁盘目录,加密流程如下

加密函数与老版本基本相同

最后末尾写入0x21c大小的加密数据

将机器信息Base64编码后发送到某些域名

解密出的域名如下图

通过执行vssadmin delete删除巻影镜像防止恢复

勒索完成后会自删除

在GandCrabV5版本后,会在%TEMP%目录下创建并更改系统壁纸,展示勒索信息

在GandCrabV5版本后,作者增加了多个提权漏洞利用,有影响Win7、WinServer 2008及WinServer 2008 R2提权漏洞CVE-2018-8120

影响Win7以上的操作系统的提权漏洞CVE-2018-8440

Win10提权漏洞CVE-2018-0896

至此勒索样本分析完成

事件溯源分析
在2018年10月18日,360观星实验室团队在处理用户应急时,发现内网遭遇勒索,文件后缀被加密为PWFKPFCP,在磁盘目录下发现PWFKPFCP-DECRYPT.txt文件,根据特征判断用户感染了GandCrab勒索软件

对于被感染的用户,使用了观星实验室应急响应分析平台,对用户相关系统提取关键日志等信息,通过关联分析,大致得出黑客攻击的路径,具体如下:

无论是前段时间爆发的GlobeImposter勒索、Crysis勒索还是近期的GandCrab勒索,以弱口令爆破为主要攻击手法的黑客团伙已经拥有非常成熟的流程和工具。

在对收集上来的日志进行关联分析时,发现对KProcessHacker服务的加载时间来统计其时间轴进行初步定位

从数据得出在2018年10月16日22点57分,KProcessHacker服务已被加载,其登录分析行为如下

在暴力破解检测中发现从2018年10月14日开始,用户机器已经遭受大量爆破攻击

并发现了两条可疑的RDP登录记录

一条记录指向是X.X.X.60这台机器,在2018年10月18日凌晨2点29分通过Administrator RDP登录,这台60机器显然也是受害机器,但时间已经晚于KProcessHacker加载时间

另一条记录指向是X.X.X.171这台机器,在2018年10月16日22点56分通过Administrator RDP登录,这台机器的登录时间与KProcessHacker服务的加载时间相近且在其之前

深入分析171机器,同样发现了大量爆破记录

在2018年10月17日凌晨4点05分Administrator被重置密码

随即在2018年10月17日凌晨4点13分开始,恶意ip 119.129.75.111登录

并在2018年10月17日 17点27分将Administrator添加为Oracle超级管理员

继续对X.X.X.171机器关联分析发现X.X.X.164机器被更多的恶意ip登录

针对乌克兰193.238.46.96等ip分析,发现存在明显的扫描和爆破行为

对所有登录事件关联分析如下图所示

通过以上分析,基本确认出此次攻击的发起点及攻击路径

处置建议
对于已经感染的服务器立即下线隔离
在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放
开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口
每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)
及时修复系统漏洞

安全建议
系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现
禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制
有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口
配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力
针对服务器,不仅要安装带主动防护的杀毒软件,最好部署安全加固软件,阻断黑客攻击

参考链接及IOC
IOC:

c805528f6844d7caf5793c025b56f67d

f8853def4c82a9075ff0434c13ceca23

c805528f6844d7caf5793c025b56f67d

“GandCrab勒索病毒最新疫情”- 360安全卫士

“Rapidly Evolving Ransomware GandCrab Version 5 Partners With Crypter Service for Obfuscation”- Mcafee

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/163414
安全客 – 有思想的安全新媒体
GandGrab

360观星实验室 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

Anatova勒索病毒详细分析
2019-02-28 11:38:43

警惕!WinRAR漏洞利用升级:社工、加密、无文件后门
2019-02-28 10:10:25

Pwn FruitShop的故事(下)
2019-02-27 16:30:53

风雨欲来:恶意软件 Brushaloader 深入分析
2019-02-27 15:30:33
|发表评论
发表你的评论吧
昵称
网瘾患者
换一个
|评论列表
咸鱼 · 2018-11-05 18:24:28 回复
这日志分析平台叫啥

咸鱼 · 2018-11-05 18:21:44 回复
不明觉厉。,

大表哥 · 2018-11-05 17:02:46 回复
师傅有点牛啊

越南邻国宰相 · 2018-11-05 16:10:17 1 回复
厉害了

越南邻国宰相 · 2018-11-05 16:10:14 1 回复
厉害了

x0r · 2018-11-05 15:57:12 1 回复
有点犀利

360观星实验室
360企业安全观星实验室成立于2017年,主要的研究方向包括攻防技术研究、安全数据分析、应急响应、攻击溯源等方向,致力于为企业客户提供全方位专业的安全技术支持。
文章
4
粉丝
6
TA的文章
Nexus Repository Manager 3 远程代码执行漏洞 (CVE-2019-7238) 分析及利用
2019-02-18 12:16:47
近期GandCrab勒索事件详细分析
2018-11-05 15:00:44
php-fpm环境的一种后门实现
2018-11-01 14:30:38
机器学习在Windows RDP版本和后门检测上的应用
2018-08-22 09:00:05
输入关键字搜索内容
相关文章
Anatova勒索病毒详细分析
警惕!WinRAR漏洞利用升级:社工、加密、无文件后门
Pwn FruitShop的故事(下)
风雨欲来:恶意软件 Brushaloader 深入分析
CVE-2018-0296 Cisco ASA 拒绝服务漏洞分析
Video Downloader(Plus)Chrome插件漏洞分析:绕过CSP实现UXSS
Pwn FruitShop的故事(上)
热门推荐
文章目录
勒索事件概述
样本勒索执行流程
勒索样本分析
事件溯源分析
处置建议
安全建议
参考链接及IOC
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…

Leave a Reply