首页
社区
课程
招聘
[原创]Phobos勒索软件变种之Roger来袭
发表于: 2020-9-17 09:35 4357

[原创]Phobos勒索软件变种之Roger来袭

2020-9-17 09:35
4357

Roger是近期较为活跃的一款勒索病毒,隶属于Phobos家族。Phobos家族通常通过RDP暴力破解+人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为[原文件名]+id[随机字符串]+[邮箱地址].ROGER,目前该勒索无法解密。

勒索病毒运行后,创建互斥体,接着遍历数据库,邮件,办公软件等相关进程,并中止查询到的进程,解除文件占用,以保证加密文件成功。之后运行加密模块。与此同时,内存解密出勒索信息、需要加密文件后缀名、以及被加密文件随机后缀等。之后遍历系统文件目录,加密相关文件,最后弹出勒索信息。
图片描述
值得关注的是,该勒索病毒在运行过程中会进行自复制,并在注册表添加自启动项,如果没有清除干净系统中残留的病毒体,重启后很可能会遭遇二次加密。

开始正式将分析之前,要说明以下,由于样本来源的特殊性,这里并没有将样本的hash信息公布。

首先是有一层upx的外壳,用upx提供的脱壳工具来搞定。
图片描述
接下来的分析让我差点蒙了,感觉这就是一个正常的图形化程序代码,如果不是我提前知道这是个勒索软件,估计就被骗过去了吧。
图片描述
不得不说,Roger新变种勒索在反调试上是做的真好,第一层通过upx加壳保护,第二层通过正常图形化代码伪装,但最终还是被API断点拦下。
图片描述
紧接着获取VirtualAlloc的地址,用于分配新的内存来存储内部数据。
图片描述
分分配0x33000大小的内存,用于之后的解码操作,并执行相应的代码,这部分二进制代码,可以作为脱壳后的特征码,用于判断是否是roger勒索。
图片描述
紧接着对该内存区域进行内存拷贝,拷贝的数据来源于内部数据解码之后的结果。
图片描述
针对0x1900000下内存写入断点,发现了第二次对该数据写入的地方。
图片描述
有意思的是,系统API通过这样的组合来调用,并且jmp eax被所有API调用,所以在jmp eax下断点,会看到所有的API调用。
图片描述
通过EnumSystemGeoID的系统API触发了CreateProcessW,当返回到用户层时,发现已经进入了分配的内存区域。
图片描述

通过SetThreadContext来设置线程的EIP,此时EIP被设置为0x40A9D0。
图片描述
在这里明显发现了进程代码注入的API组合,一般是以下这种组合情况。
1.使用CreateProcessW创建挂起进程。
2.GetThreadContext获取线程上下文信息。
3.SetTreadContext设置线程的EIP信息。
4.ResumeThread恢复线程执行代码。

通过对roger进程的查看发现,确实满足这样的一组API组合,并且进程也是挂起的状态。
图片描述

通过附加的方式,附加创建的子进程roger,并跳转到0x40A9D0设置断点信息。
图片描述
在进行其他操作之前,首先获取了几组系统环境变量值。
图片描述
图片描述
调试发现通过拼接的方式来获取并打开互斥量,如果没有就创建新的互斥量。
图片描述
图片描述


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2020-9-17 10:20 被Risks编辑 ,原因: 调整数据内容
收藏
免费 1
支持
分享
最新回复 (1)
雪    币: 1475
活跃值: (14652)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
2
真不错,可惜没有HASH,不然也去看看
2020-9-17 13:45
0
游客
登录 | 注册 方可回帖
返回
//