GANDCRAB勒索软件着眼“达世币”,安天智甲有效防护

时间  2018年02月28日  来源:  Antiy

1 GandCrab勒索软件概述

近日,一款勒索达世币(DASH)的勒索软件GandCrab被发现,其为首个勒索比特币以外的虚拟货币的勒索软件,安天安全研究与应急处理中心(安天CERT)迅速对其展开分析。

该勒索软件通过Necurs僵尸网络分发垃圾邮件及漏洞工具包(Exploit Kit)进行传播,使用的漏洞工具包有RIG、GrandSoft等。GandCrab使用RSA算法加密,目前已经有解密工具出现,安天不建议也不支持向攻击者交付赎金以获取解密工具的行为。

经验证,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)可有效感知并及时阻止GandCrab勒索软件的行为,并向用户发出告警。

2 样本分析

2.1 样本标签

表 2 1二进制可执行文件

2.2 样本详细分析

2.2.1 解密载荷文件

为了对抗分析,样本加密了载荷文件。样本运行后,首先动态获取库函数地址:

图 2 1 动态获取库函数地址

然后将载荷解密到内存中:

图 2 2 解密载荷到内存

2.2.2 生成RSA密钥

载荷解密到内存后开始执行,首先结束当前的一些活动进程,以解除对某些文件的占用,为加密这些文件做准备。进程列表如下图所示:

图 2 3 需结束的进程

然后遍历当前活动进程,与列表中匹配则结束该进程:

图 2 4 遍历活动进程并结束硬编码中的进程

接下来利用随机的USERID生成警告信息:

图 2 5 生成警告信息

调用CryptGenKey生成RSA密钥:

图 2 6 生成RSA密钥

2.2.3 网络部分

该样本的网络功能较复杂,主要功能有二,一是使用nslookup查询C2服务器的IP地址,二是通过网络回传系统信息及RSA密钥。

进入网络部分后,样本首先检测反病毒程序,用以回传C2:

图 2 7 检测反病毒程序

然后使用GET请求访问ipv4bot.whatismyipaddress.com,获取本机IP地址:

图 2 8 获取本机IP地址

调用CryptBinaryToStringA将生成的RSA密钥转换为base64格式:

图 2 9 将生成的RSA密钥使用base64加密

拼接RSA密钥、IP、用户名等系统信息:

使用nslookup查询域名对应IP:

图 2 10 查询C2服务器域名对应IP地址

加密之前拼接好的系统数据,通过POST请求将数据发送到查询后的IP,即C2服务器IP地址。如果无法访问,则会重新使用nslookup查询IP直到可以成功访问C2服务器地址。如图所示:

图 2 11 回传加密系统信息及RSA密钥

2.2.4 加密部分

该样本如果想要加密文件,在网络部分必须要与C2服务器地址正常通信,否则会不断地循环获取C2服务器IP地址,无法进入加密部分。撰写本文时,由于C2服务器暂时无法访问,样本无法获取C2服务器IP地址,因此安天分析人员通过手动调试样本进入加密部分。

要加密文件的扩展名以硬编码形式存在于样本中,访问C2服务器成功后会先解密:

图 2 12 解密需要加密的文件扩展名

加密的文件扩展名如下:

为防止系统无法正常运行,还有一些不加密的文件,如下图所示:

图 2 13 一些不加密的文件名

最后样本开始遍历系统磁盘,加密符合要求的文件,加密函数如下图所示:

图 2 14 加密文件

2.2.5 勒索达世币(DASH)

加密文件会以.GDCB为新的扩展名,加密完成后,样本调用默认浏览器弹出勒索信息页面,勒索1.5个达世币,价值约1200美元。在限定日期内没有交付相应的达世币,赎金会翻倍。

图2-15 勒索信息页面

3 防护建议

3.1 预防建议

1.及时备份重要文件,且文件备份应与主机隔离;
2.及时安装更新补丁,避免一些勒索软件利用漏洞感染计算机;
3.尽量避免打开社交媒体分享等来源不明的链接,给信任网站添加书签并通过书签访问;
4.对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接;
5.定期用反病毒软件扫描系统,如杀毒软件有启发式扫描功能,可使用该功能扫描计算机。

3.2 安天智甲有效防护

安天智甲终端防御系统通过诱饵文件、行为分析、文件变化审计、进程身份识别等多种能力的结合,实现了对主流勒索软件的有效防护。

经验证,在不依赖文件特征检测的情况下,安天智甲即可实现对GandCrab的有效防护。

图3-1 安天智甲告警界面

在GandCrab的攻击准备、磁盘遍历和文件加密等阶段,安天智甲均能够通过集成的多项能力做到及时感知并拦截,另外安天智甲还具有一定程度的文件备份与恢复能力,通过多种防护能力的叠加与组合,让用户可以在极大程度上防御诸如GandCrab等这类勒索病毒的攻击。

注:由于业内病毒命名规则各不相同,本告警中呈现的病毒名称是依托于安天病毒命名规则。

4 安天智甲简介

图4-1 安天智甲产品

图4-2 安天智甲管理中心

安天智甲是一款面向政府、军工、能源、金融、交通、电信等各行业用户的企业级防护产品,产品集成了病毒检测查杀、系统加固、主动防御、介质管控、文档保护、行为画像等功能,不仅能够对常规病毒进行防御,还能够对勒索软件、APT等新型威胁进行有效防御。

针对办公计算机、国产系统平台、工控上位机、虚拟化终端、移动终端等多种场景,安天智甲均具有不同的防护解决方案,为用户的系统和数据安全提供保障。

安天智甲还能有效与管理中心和安天态势感知产品互动,协助客户建立更全面的资产防护体系和风险认知能力,使态势感知能够有效落地。

1、安天智甲:更全面的场景应用——多场景支持、满足差异化需求

安天智甲不仅是一款终端防护产品,还能够以资产保障和威胁认知为视角,以形成有效的资产深度普查和端点画像为能力输出,并将数据同步至安天态势感知平台中,让用户对整个端点的资产一览无余。

2、安天智甲:更广阔的适配性——全面兼容国产化系统

3、安天智甲:更强大的功能——不仅仅是反病毒

4、安天智甲:更精准的威胁感知——3D可视化拓扑、感知全局态势

5 总结

虚拟货币的交易价值在2017年一路水涨船高,进入2018年后,虽然有小幅波动,但仍然处于增长趋势,随之而来的是一系列的影响,如显卡价格飙升、挖矿恶意代码增加等,并且2017年最流行的恶意代码——勒索软件也发生了改变。

比特币当前的单价在9000美元左右(2018年2月10日),其每次的交易价格也较之前大幅上涨,勒索者开始考虑使用活跃的新兴货币来替代比特币做为赎金,达世币(DASH)就是这样的一个选择。达世币的一些机制解决了比特币的缺陷,更加地安全,无法追踪交易对象,导致GandCrab勒索软件使用其作为赎金的事件出现。

GandCrab使用了大量动态解密方式,并且若网络不连通则不会进入加密阶段,无法看到加密的扩展名与流程,可以看出,越来越强大的对抗分析技术是未来勒索软件的趋势,只有与时俱进,不断提升产品能力才能在勒索软件肆虐之前拒其于千里之外。

附录:参考资料

[1] GandCrab ransomware distributed by RIG and GrandSoft exploit kits
https://blog.malwarebytes.com/threat-analysis/2018/01/gandcrab-ransomware-distributed-by-rig-and-grandsoft-exploit-kits/

[2] GandCrab Ransomware Distributed by Exploit Kits, Appends GDCB Extension
https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-distributed-by-exploit-kits-appends-gdcb-extension/