【预警】Sodinokibi勒索病毒最新变种,竟通过混淆JavaScript代码传播

近日,亚信安全截获利用混淆的JS代码传播的Sodinokibi勒索病毒变种文件,其通过垃圾邮件附件传播。由于附件是混淆的JS脚本文件,其可以轻松逃避杀毒软件的检测,一旦用户点击附件,计算机中的文件将会被加密。亚信安全将其命名为TROJ_FR.620727BA。

Sodinokibi勒索病毒首次出现在今年4月份,早期版本使用Web服务相关漏洞传播,后来发现该勒索病毒通过垃圾邮件附件传播,亚信安全曾经多次截获此类垃圾邮件,其附件是伪装的Word文档,实际上是PE格式的可执行文件,其附件文件名称通常为:關於你案件的文件.doc.exe,聯繫方式.doc.exe,來自最高法院的文件\錶殼材料.doc.exe,稅務局的文件\樣品填充.doc.exe等,这些带有诱惑性的文件名,极易误导用户点击。

攻击流程解析

image002

Sodinokibi勒索病毒最新变种详细分析

原始样本是一个混淆过的JS脚本,通过对数组内容的读取获取混淆后的具体代码,内容如下:

image003

image004

通过动态调试,获取到解混淆后正常的JS代码,该脚本主要是利用PowerShell进一步去除混淆:

image005

image006

通过以上代码,安全专家得知变量vhtsxspmssj是一个混淆的PowerShell脚本。去除混淆(将其中的感叹号去除)后它将会被保存到jurhtcbvj.tmp中:

image007

image008

image009

去除混淆后,通过PowerShell执行Base64加密的数据:

image010

image011

安全专家将其中加密的数据进行Base64解密,如下图所示,其仍然是通过将数据Base64加密,然后利用PowerShell进行解密后执行,主要是执行install1函数:

image012

安全专家对其中加密的数据进行解密,本次解密主要是利用PowerShell脚本来进行,将运行解密后的数据输出到文件中,以便安全专家进一步分析。安全专家修改原始的脚本,内容如下:

image013

运行脚本后,安全专家发现本次加密数据其实的是一个PE文件,通过查看文件信息,此文件是一个.NET模块。安全专家将此命名为dump_1.dll文件:

image014

image015

dump_1.dll文件分析(.NET模块)

安全专家对此.NET文件进行逆向分析,主要是查找原始脚本中执行的install1()函数,该函数的主要功能是将主要数据Base64加密,然后使用NET中的相关解密函数解密后加载到内存中执行:

image016

image017

image018

安全专家将base64加密的数据手动进行base64解密,发现它是一个PE文件,查看文件信息,是使用Borland Delphi编写的DLL文件,安全专家将此命名为dump_2.dll文件:

image019

image020

dump_2.dll文件分析

安全专家对相关的DLL(dump_2.dll)文件进行逆向分析,通过查看导入函数,安全专家发现了有对资源操作的API,可能是该文件的资源截取存在可疑数据:

image021

image022

安全专家通过查看dump_2.dll文件的资源数据,发现是一个被加密的数据,资源段名称为HELP,通过查看反汇编相关代码,该加密数据用7B异或,即可获取解密后的相关数据:

image023

image024

image025

安全专家可以选择动态调试解密,在知道如何解密的情况下,也可以使用二进制工具手动进行异或解密。解密后,安全专家发现又是一个PE文件,安全专家命名为dump_3.dll,继续对此文件进行分析:

image026

image027

image028

dump_3.dll文件分析

安全专家查看该文件的信息,发现其信息与dump_2.dll基本类似,查看反汇编代码,同样是使用了资源截取存放payload。安全专家将此payload命令为dump_4.dll文件:

image029

image030

它还会检查AhnLab相关服务和文件是否存在,AhnLab(安博士)是韩国的一家杀毒软件:

image031

image032

通过进一步查看其反汇编代码,加载payload的方式是使用Process Hollowing技术。如果找到AhnLab勒索软件的服务或者文件,它将会通过Process Hollowing将此payload注入到该安全产品autoup.exe进程中。如果没有安装AhnLab勒索软件,它将会通过Process Hollowing将此payload注入到当前进程(PowerShell进程实例):

image033

image034

dump_4.dll文件分析(真正的勒索软件主体)

安全专家查看dump_3.dll资源区域,存在加密的数据,使用同样的方式7B进行异或,得到勒索软件主体模块Payload:

image035

image036

安全专家查看文件信息,发现区段中有一个异常的节,通过反汇编代码可以看到,此节内的数据是加密的,需要解密才可以知道其具体内容(这与以往的Sodinokibi勒索病毒是一样的,都有一个特殊的节存放着加密的配置文件信息,可能这个节的名字不一样):

image037

image038

安全专家通过反汇编和动态调试,该区段果然与以往的Sodinokibi勒索病毒一样,存放着配置信息,配置信息包括白名单目录、文件扩展名以及域名信息等:

image039

image040

image041

白名单目录:

image042

随机域名列表信息:

image043

删除系统卷影,让文件恢复变得更加困难:

image044

加密后的桌面壁纸:

image045

加密后文件的扩展名为.vx525c61

image046

加密勒索通知信息:

image047

亚信安全教你如何防范

  • 不要点击来源不明的邮件以及附件;
  • 不要点击来源不明的邮件中包含的链接;
  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
  • 打开系统自动更新,并检测更新进行安装;
  • 尽量关闭不必要的文件共享;
  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

亚信安全产品解决方案

  • 亚信安全病毒码版本309.60,云病毒码版本15.309.71,全球码版本15.311.00已经可以检测,请用户及时升级病毒码版本。

IOCs

3e974b7347d347ae31c1b11c05a667e2

##

image048

关于亚信安全

亚信安全是中国网络安全行业领跑者,以安全数字世界为愿景,旨在护航产业互联网。亚信安全是云安全、身份安全、终端安全、态势感知、高级威胁治理、威胁情报技术领导者,同时是5G、云计算、物联网、大数据、工控、移动六大安全场景引领者。在国内拥有2个独立研发中心,2,000人安全专业团队。欲了解更多,请访问: http://www.asiainfo-sec.com

更多媒体垂询,敬请联络:

亚信安全 谋信传媒
刘婷婷 雷远方
电话:010- 58256889电子邮件: liutt5@aisainfo-sec.com 电话:010-67588241电子邮件:leiyuanfang@ctocio.com

上一篇:畅想IT,畅享未来

下一篇:从 verizon 数据泄露报告看政府数据安全