-
-
[原创]malox勒索病毒样本分析
-
2023-10-18 10:34
-
样本名称:bozon.exe
样本MD5:A88E6136F8F73B43846E91E7869EABD3
被加密文件后缀:*.malox
样本捕获时间:2023年5月
此勒索病毒样本属于Mallox家族(也被称作TargetCompany、Fargo),会加密受害者主机的上的文件,只有向攻击者支付赎金才能解密文件,赎金以比特币的形式支付。使用俄语等特定语言的主机不会被加密,特定路径、特定文件名、特定扩展名的文件也不会被加密,体积小于10000字节的文件亦不会被加密。此样本利用文件共享机制进行横向渗透。
国内厂商360(https://bbs.360.cn/thread-16043918-1-1.html)和国外厂商安博士(https://asec.ahnlab.com/en/49366/)曾对此家族有过分析,但此样本表现出了新的特征,如样本在运行时支持指定多个命令行参数来控制其行为,可见此勒索病毒仍在不断更新迭代。下文将从环境检测、准备工作、加密、横向渗透4个方面对样本进行分析。
1.环境检测
样本开始执行后,首先会判断当前计算机语言设置,若是俄语、哈萨克语、白俄罗斯语、乌克兰语、鞑靼语,则样本直接退出,不加密任何文件。
2.准备工作
2.1 将电源模式设置为高性能。
2.2 提权,通过获取“SeTakeOwnershipPrivilege”和“SeDebugPrivilege”对自身进行提权,方便后续执行需要特殊权限的操作。
2.3 删除反勒索软件Raccine的注册表项,让其失效。调用vssadmin.exe删除卷影。
2.4 调用bcdedit禁用自动修复。
结束Oracle、SQL Server、 MySQL 的相关进程。
插曲:此勒索病毒的编写者在将被结束的进程名称预置在样本中时,出现拼写错误,ReportingServecesService.exe(上图黄色背景处),其正确名称应为ReportingServicesService.exe
2.5 删除数据库相关服务。
2.6 若用户此时关机,则提示“Do NOT shutdown OR reboot your PC: this might damage your files permanently !”(不要关机或重启,这会永久损毁你的文件)。
2.7 隐藏开始菜单中的“关机”、“重启”、“注销”按钮,隐藏登录屏幕的“关机”按钮(加密完成后会重新显示)。
2.8 设置远程桌面在active、disconnected、Idle状态下,会话从不过期。
3.加密
3.1 加密前,样本会收集本机信息,并通过互联网向外发送。收集的信息包括本机互联网出口IP、计算机名、系统架构、磁盘空间信息等。
其中,获取本机互联网出口IP时,会访问http://api.ipify.org。
而向外发送本机信息,则是通过向https://whyers.io/QWEwqdsvsf/ap.php发送post请求实现的。
向外发送的信息,也会保存在TargetInfo.txt中,该文件位于样本同目录下。
3.2 加密时,样本使用了非对称加密算法。为充分利用CPU资源,样本会开启多线程并行执行加密任务。
趋势科技曾在其对此勒索病毒家族分析的文章中指出,该勒索病毒家族使用了Chacha20, Curve 25519, and AES-128来加密用户文件(https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-targetcompany)。
加密过程中,会对路径中包含以下40种指定名称的路径进行跳过。
也会对具有以下52种扩展名的文件进行跳过。
以下13个文件名也会被跳过。
文件体积小于10000字节的文件也不会被加密。
网络驱动器、可移动存储设备、本地硬盘都会被加密。
被加密的文件会被添加.malox后缀。
样本会在每个有文件被加密的目录创建FILE RECOVERY.txt,提供自己的联系信息。
3.3 加密后,样本会在C盘根目录生成HOW TO RECOVER !!.TXT,内容与之前的FILE RECOVERY.txt相同。
样本还会和加密前一样再次向https://whyers.io/QWEwqdsvsf/ap.php发送本机信息,然后删除自身。
此勒索病毒会在其网站上展示用户被加密的文件大小(见下图,来自网络),因此猜测样本在此处向外发送的信息中包含了加密文件的大小。
4.横向渗透
样本利用Windows文件共享来进行横向渗透,会尝试将其自身(bozon.exe)复制到远程计算机的admin$和c$目录,复制成功后,会以bozon.exe创建服务,并启动服务,从而实现传播。
在横向渗透目标的选取上,样本支持指定或扫描。若在样本执行时,在命令行添加了参数“-l”,则在其后可追加参数指定横向渗透的目标主机。样本除“-l”外还支持“-d”、“-p”、“-path”、“-queue”等其他参数(其他参数未做分析)。
若未在命令行指定横向渗透的目标,则样本会扫描本机ARP缓存,对缓存中的主机进行横向渗透。
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
