歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

對Anatova勒索軟件進行一番深度分析后發現,它可能是新舊兩代勒索技術的分水嶺!

來源:本站整理 作者:佚名 時間:2019-05-29 TAG: 我要投稿

今年1月,邁克菲實驗室(McAfee Labs)發現了一款攻擊威力遠勝于 Ryuk 的勒索軟件,該勒索軟件通常將自己偽裝成流行的游戲或者應用程序欺騙用戶下載執行,運行后,它會主動請求管理員權限以便對用戶磁盤文件進行加密,之后再索取贖金。根據對Anatova的分析可以發現該勒索軟件的開發者是一個經驗十足的惡意代碼編寫者,至今發現的多個樣本中包含了不同的密鑰和部分不同的函數,該勒索軟件還預留了模塊化擴展的功能,因此其可能衍生出更多的惡意行為。當前主要在美國和歐洲部分國家發現了該勒索軟件的蹤跡,該勒索軟件有簡單的繞過分析設備的功能,并根據系統語言版本決定是否進行加密勒索行為,使用了RSA+Salsa20的方式進行加密,中招后不交贖金進行文件解析的可能性非常低。
需要說明的是,Anatova是在一個私有P2P網絡中被發現的。在經過了初步分析以及確保其客戶已經受到了保護之后,邁克菲實驗室決定將這一發現公之于眾。
從不同角度來對Anatova進行深度分析
現在距離Anatova的出現已經過了快5個月了,不過對它的分析還都停留在最粗淺的水平(就像前言里分析的那樣),本文,我們將深入分析Anatova攻擊時的技術細節。這些細節在以前都沒有被發現過,也沒有在其它報道中被提及過。深入分析該勒索軟件,我們將會對它可能發生的概率和攻擊模式有個準確的把握。
本文所分析的具體細節大概包括:
1.Anatova用于刪除卷影副本(Volume Shadow Copy)的實際指令;
2.收集Anatova試圖終止的進程的所有名稱的列表;
3.Anatova避免感染的所有文件夾、文件和擴展名;
4. Anatova如何終止一個進程;
5.當檢測到一個目標用戶時,Anatova如何從內存中刪除自己的攻擊痕跡。
希望這些信息能幫助其他研究人員分析他們將來可能遇到的這種勒索軟件和類似的惡意軟件。
Anatova勒索軟件是一個64位惡意軟件,目前在野外運行,目前FortiGuard實驗室的研究人員很少能看到純碎的64位勒索軟件,因為它們要適應32位設備的要求。
沒有明顯被攻擊的癥狀
一旦Anatova勒索軟件開始在目標設備上執行,它就會刪除“ANATOVA.TXT”文件的副本,該副本包含帶有DASH支付地址的贖金通知。每個受感染的文件夾都會包含此通知,以方便受害者知道怎么與幕后人聯系。
圖1含有贖金地址通知信息:

與其他勒索軟件不同,Anatova發起攻擊后,沒有明顯的癥狀。其他勒索軟件在攻擊完成后,都會在受害者的設備上出現閃爍和閃亮的贖金圖像,明確告訴他們的設備被感染。但對于Anatova來說,除非你已經看過ANATOVA.TXT文件,或者你注意到你的某些數據文件已經加密,否則你無法確定設備是否被攻擊了。
不顯示可見癥狀應該是Anatova比較高明的攻擊策略,值得注意的是,它要求的支付贖金還要求用Dash幣(達世幣),而不是更常見的門羅幣(Monero)或比特幣。達世幣是一種基于比特幣的,致力于更加匿名化;更快支付效率;以及平穩系統升級的支付類虛擬貨幣。
解析API
就像任何典型的惡意軟件一樣,Anatova試圖隱藏其API名稱,以避免仍然嚴重依賴于字符串檢測的殺毒掃描程序。為了解析API地址,惡意軟件從加密名稱數組中解密API名稱,并調用GetProcAddress API。
然后,惡意軟件使用簡單的XOR指令來解析API名稱。它使用一個單字節密鑰來解析名稱中的每個字符字節,并且每個API的單字節密鑰是不同的。
圖2顯示了一些API名稱及其被解析后所包含的字符串:

該列表顯示目前已被解析的kernel32 API。另外,該惡意軟件還解析了CryptAcquireContextW,CryptGenRandom,CryptReleaseContext,CryptGenKey,CryptExportKey,CryptDestroyKey,CryptImportKey,GetUserNameW,CryptEncrypt,CryptBinaryToStringA和ShellExecuteW API。
Mutex(互斥鎖)
mutex一般用于為一段代碼加鎖,以保證這段代碼的原子性(atomic)操作,即:要么不執行這段代碼,要么將這段代碼全部執行完畢。
在解析這些名稱的進程中,惡意軟件在解析了kernel32.dll中需要的所有API之后,創建了一個名為“6a8c9937zFIwHPZ309UZMZYVnwScPB2pR2MEx5SY7B1xgbruoO”的mutex。
(避免對一些用戶進行攻擊)
Anatova試圖避免感染一些使用特定用戶名的計算機系統,比如:
LaVirulera
tester
Tester
analyst
Analyst
lab
Lab
malware
Malware
如果匹配了與以上列表中相同的用戶名,則Anatova將終止執行。
從列表中可以看出,這些用戶名是設備或系統使用的常見用戶名,而這些用戶名經常被用于蜜罐分析中?梢夾natova的反追蹤能力是非常強的。另外,這些名稱也在惡意軟件內被加密了,且使用與解析API相同的解析技術。
以上所說的只是Anatova執行攻擊之前的反檢測功能,在最終執行之前,還要經過很多步驟。首先,Anatova將包含已解析API的內存位置清除,并刪除具有mutex名稱的內存位置。接下來,它使用VirtualProtect API將.text部分的一部分內存保護更改為PAGE_EXECUTE_READWRITE,然后將其清除。之后它將內存保護更改回PAGE_EXECUTE_READ。 Anatova通過僅將可執行代碼的上半部分清零,從而避免清除當前正在執行的代碼。
隨后,Anatova將包含當前代碼的內存保護更改為PAGE_EXECUTE_READWRITE。然后調用memset函數清除當前代碼的內存位置,從而有效地將自己從內存中刪除。
圖3顯示了惡意軟件清除API和代碼部分前后的代碼。左側仍包含惡意軟件代碼的上半部分,而另一側已被清除:

大多數惡意軟件一旦找到某個攻擊標記,比如用戶名,只需終止自身的運行,就會停止其惡意執行。不過這樣做,通常也會在內存中留下攻擊痕跡。但是Anatova希望在它停止其惡意執行之前,清除內存位置,以確保沒有留下任何攻擊痕跡。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 得利斯股票 北京快三 山东十一选五 天津十一选五 上证指数大盘走势图 什么叫上证指数 7m.cn足球即时比分 股票002626 乌鲁木齐股指期货配资 2012短线股票推荐 新浪理财平台 新疆35选7 乐视股票 nba即时比分 不要碰炒股男人 2019股票配资平台官方排名