首页
社区
课程
招聘
[原创]malox勒索病毒样本分析
发表于: 2023-10-18 10:34 9052

[原创]malox勒索病毒样本分析

rxy 活跃值
1
2023-10-18 10:34
9052

样本名称:bozon.exe

样本MD5:A88E6136F8F73B43846E91E7869EABD3

被加密文件后缀:*.malox

样本捕获时间:2023年5月

此勒索病毒样本属于Mallox家族(也被称作TargetCompany、Fargo),会加密受害者主机的上的文件,只有向攻击者支付赎金才能解密文件,赎金以比特币的形式支付。使用俄语等特定语言的主机不会被加密,特定路径、特定文件名、特定扩展名的文件也不会被加密,体积小于10000字节的文件亦不会被加密。此样本利用文件共享机制进行横向渗透。


国内厂商360(https://bbs.360.cn/thread-16043918-1-1.html)和国外厂商安博士(https://asec.ahnlab.com/en/49366/)曾对此家族有过分析,但此样本表现出了新的特征,如样本在运行时支持指定多个命令行参数来控制其行为,可见此勒索病毒仍在不断更新迭代。下文将从环境检测、准备工作、加密、横向渗透4个方面对样本进行分析。


样本开始执行后,首先会判断当前计算机语言设置,若是俄语、哈萨克语、白俄罗斯语、乌克兰语、鞑靼语,则样本直接退出,不加密任何文件。

2.1 将电源模式设置为高性能。

2.2 提权,通过获取“SeTakeOwnershipPrivilege”和“SeDebugPrivilege”对自身进行提权,方便后续执行需要特殊权限的操作。

2.3 删除反勒索软件Raccine的注册表项,让其失效。调用vssadmin.exe删除卷影。

2.4 调用bcdedit禁用自动修复。

结束Oracle、SQL Server、 MySQL 的相关进程。


插曲:此勒索病毒的编写者在将被结束的进程名称预置在样本中时,出现拼写错误,ReportingServecesService.exe(上图黄色背景处),其正确名称应为ReportingServicesService.exe


2.5 删除数据库相关服务。

2.6 若用户此时关机,则提示“Do NOT shutdown OR reboot your PC: this might damage your files permanently !”(不要关机或重启,这会永久损毁你的文件)。

2.7 隐藏开始菜单中的“关机”、“重启”、“注销”按钮,隐藏登录屏幕的“关机”按钮(加密完成后会重新显示)。

2.8 设置远程桌面在active、disconnected、Idle状态下,会话从不过期。

3.1 加密前,样本会收集本机信息,并通过互联网向外发送。收集的信息包括本机互联网出口IP、计算机名、系统架构、磁盘空间信息等。

其中,获取本机互联网出口IP时,会访问http://api.ipify.org。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 3
支持
分享
最新回复 (2)
雪    币: 3573
活跃值: (31026)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2023-10-19 09:21
1
雪    币: 21
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
谢谢你的细致分析,受益匪浅!刚好跟着复现了哈哈
2024-9-12 21:35
0
游客
登录 | 注册 方可回帖
返回
//