恶意软件伪装为激活工具(kms)分发
万恶的下载站,,
勒索提示信息为“WannaRen”,排查发现主机不存在MS17-010漏洞。了解到之前下载过KMS类的系统激活工具。分析发现KMS工具存在访问URL加载其他恶意程序的行为。
点名某西下载站。
发现在“kms激活工具 19.5.2.exe”程序中,捆绑了powershell恶意代码。如下
病毒信息
恶意代码执行时,首先延时2000秒(33分钟),一定程度上造成没有恶意行为的假象,影响安全研究人员分析;如果系统中安装了360、QQ防护则不执行后续代码。
然后呢。勒索病毒代码以“白加黑”的形式被调用,匿影病毒传播脚本会将“白加黑”恶意模块(wwlib.dll和WinWord.exe)下载到c:\ProgramData目录执行。病毒运行后,会将C:\ProgramData\WinWord.exe注册为系统服务,电脑重启后即会执行恶意代码,加密用户文件。主要通过“匿影”病毒传播脚本进行下发。
目标地址1:http://cs.sslsngyl90.com 目标地址2:http://cpu.sslsngyl90.com/vip.txt
病毒脚本执行后,会下载执行多个恶意模块,其中包括:勒索病毒、挖矿病毒、永恒之蓝漏洞攻击工具。其中,永恒之蓝漏洞攻击模块会在网络内通过漏洞攻击的方式传播恶意代码。在攻击成功后,会在被攻击终端中运行远程恶意脚本(my****.at.ua/vip.txt),此脚本于报告上述vip.txt恶意脚本模块逻辑基本相同,同为下载执行上述诸多恶意模块,也不排除该恶意脚本下载执行WannaRen勒索病毒的可能性。
截止昨晚获取到该脚本时候,内部恶意代码已被删除。
获取到的powershell脚本主要功能为:下载程序到本地执行。
其中的WINWORD.EXE带数字签名,可以绕过杀软检测,wwlib.dll使用vmp加壳,其编译信息和加壳信息与WannaRen勒索信息程序一致。
在分析环境,wwlib.dll不能被运行,所以无法确认是否存在加密行为。截止目前8号下午5点,已发出的安全分析文章,认为该程序(wwlib.dll)即WannaRen的加密模块。
勒索病毒行为
该勒索病毒采用对称和非对称(RSA+RC4)加密,除非得到勒索病毒作者的私钥,否则无法进行解密。勒索病毒首先生成随机的RC4密钥,如“p2O6111983YU1L “,并使用这个单一密钥加密所有文件,被加密的文件会被添加.WannaRen后缀。生成密钥后,病毒会导入RSA公钥对随机生成的RC4密钥进行加密,并存储在每个加密文件的头部。具体代码,如下图所示:
后门、勒索、挖矿一体的下载器
上述分析的其实只是恶意代码的“冰山一角”,hxxp://cs.sslsngyl90.com中后续的代码还会执行更多的行为,包括:
- 下载并执行挖矿程序(门罗币)
- 下载“永恒之蓝”工具包并集成批量扫描工具
- Everything工具外壳程序,实际为木马程序,开放并监听本地3611端口
- 甚至包含一些驱动程序,创建设备\\Device\\WinRing0_1_2_0等。
门罗币挖矿进程:
同时,该病毒存在一些“缺陷”,即部分URL已经“失效”或者返回404,导致脚本异常退出中断执行。
各模块hash:
WINWORD.EXE CEAA5817A65E914AA178B28F12359A46
wwlib.dll 9854723BF668C0303A966F2C282F72EA
you 2D84337218E87A7E99245BD8B53D6EAB
nb.exe CA8AB64CDA1205F0993A84BC76AD894A
officekms.exe 39E5B7E7A52C4F6F86F086298950C6B8
WinRing0x64.sys 0C0195C48B6B8582FA6F6373032118DA
防护建议
- 不要下载或打开来路不明的文件,并且及时备份重要数据,妥善保管。
- 安装并使用具备主动防御功能的终端防护软件,并及时更新病毒库版本。
- 下载软件请前往官网下载,尽量避免使用下载站下载。
文章改编自:
绿盟公众号:https://mp.weixin.qq.com/s?__biz=MzU3NTcxNjkwMg==&mid=2247484397&idx=1&sn=576a65b3554fdabf37c904d92d921878&chksm=fd1fa8a4ca6821b21b09f7f48d9be0294d5243891f0cfa1af7328142e6d3309c67e0770b4c1a&mpshare=1&scene=23&srcid=&sharer_sharetime=1586358489740&sharer_shareid=4e6650b4a46c26f146a18e879fa887b8#rd
吾爱破解论坛(火绒安全):https://www.52pojie.cn/thread-1151815-1-1.html
实际测试如何,从群友那边获取来的中毒虚拟机压缩包已经在路上了
评论 (0)