本帖最后由 00006666 于 2022-8-24 09:31 编辑
报告转载自360高级威胁研究分析中心分析报告
报告编号:B6-2022-082202 报告来源:360CERT 报告作者:360CERT 更新日期:2022-08-22
0x01 概述近日360安全大脑监测到一款新型勒索病毒RoBaj。该病毒使用C#编写,通过暴力破解远程桌面登录口令的方式入侵系统并手动投毒。但较为不同的是,该病毒不仅提供了中文勒索信息,其自身还被蠕虫感染,具有蠕虫功能。这也让是受害者面临的威胁与损失加倍扩大。360高级威胁研究分析中心目前已完成对该病毒的破解。
0x02 攻击过程该病毒使用典型的勒索攻击方式,攻击者在拿下目标后会首先投放横移工具,如Netpass64.exe、windows密码破解器等,并创建后门账户以备后用:
之后开始进一步横向渗透,扩大攻击范围。当拿到核心设备或已掌握大量设备后,攻击者最终会投递勒索病毒RoBaj-S.exe实施破坏工作。
0x03 文件释放当病毒RoBaj-S.exe被触发执行后,首先会释放使用的资源文件:
其中,“Description Unlock Files.exe”为锁屏与勒索提示程序。而“Description Unlock Files.txt”则是勒索提示文档,与之对应的“说明 解锁文件(英文).txt”虽然标题中有“英文”,但其实是中文版的勒索信息文档。 通过对比中英文两个版本的勒索信息会发现,中文版的勒索信息显得颇为“生硬”,不自然,更像是直接从英文版勒索信息“机翻”而来。
0x04 代码分析释放必要的文件后,程序会启动之前释放在Public Docker目录下的system32.exe加密程序。system32.exe启动后会等待接收启动参数,只有 输入正确参数后,后才会继续执行功能。该设定通常是为了绕过一些分析沙箱的自动检测。
之后,病毒会执行Files目录下的off-task.exe程序。该程序会临时创建一个bat批处理脚本并执行。被执行的批处理脚本的主要功能是通过修改注册表来禁用taskmgr、perfmon调试器选项、UAC以及系统自带杀毒软件等一系列系统的安全管理及防护功能。此外,批处理脚本还会将自 身添加为开机启动项,以此来保证下次开机能继续运行。 完成上述操作后病毒会继续遍历进程,尝试杀掉除勒索信息、系统桌面及命令行宿主进程外的一切进程,这样做的主要目的是尽最大可能排除其他进程干扰,使自身可以尽可能多的加密文件。
执行加密此时,病毒开始执行最关键的加密环节。该勒索病毒使用的文件加密密钥是通过随机数方式产生。但病毒会把这个生成的密钥与磁盘当前的使用情况等信息一同写入文件“ent.txt”中,然后使用AES加密生成的密钥(该加密过程使用内置固定密钥),再经Base64编码后写入到“ent.ent”文件中,这个文件后续未被清除,这也给了我们对该病毒进行破解解密的机会。
接下来,程序开始遍历磁盘上的目录与文件进行加密,但会排除一些特殊目录与文件扩展名。 其中,被排除掉的目录主要是重要的系统及程序目录: - C:\Program Files - C:\Program Files (x86) - C:\Windows - C:\ProgramData - C:\Users\All Users 而被排除的文件扩展名则是典型的可执行程序扩展名,显然病毒并不希望破坏系统内程序的执行,以免过早的引起受害者的警觉: - exe - dll 接着,病毒会根据文件大小的不同选择不同模式的AES算法对文件进行加密:对于小于10000KB的文件病毒会选用CBC加密模式;而大于10000KB的文件则采用CFB加密模式
加密完成后,文件名添加扩展名“.Robaj”。此外,病毒还修改了桌面壁纸和Robaj的文件图标关联来更醒目的提示受害者其设备已遭到攻击:
中勒索送蠕虫,“买一赠一”值得注意的是,我们还发现该勒索病毒开发者的环境似乎被Neshta蠕虫感染。病毒释放的所有可执行程序均感染有Neshta蠕虫。所以也提醒中招用户,一旦发现被RoBaj攻击后,除了需对勒索病毒展开排查和清理外,还需检查可执行文件是否同时被Neshta蠕虫所感染。
|