-
-
[原创]malox勒索病毒样本分析
-
发表于:
2023-10-18 10:34
9052
-
样本名称:bozon.exe
样本MD5:A88E6136F8F73B43846E91E7869EABD3
被加密文件后缀:*.malox
样本捕获时间:2023年5月
此勒索病毒样本属于Mallox家族(也被称作TargetCompany、Fargo),会加密受害者主机的上的文件,只有向攻击者支付赎金才能解密文件,赎金以比特币的形式支付。使用俄语等特定语言的主机不会被加密,特定路径、特定文件名、特定扩展名的文件也不会被加密,体积小于10000字节的文件亦不会被加密。此样本利用文件共享机制进行横向渗透。
国内厂商360(https://bbs.360.cn/thread-16043918-1-1.html)和国外厂商安博士(https://asec.ahnlab.com/en/49366/)曾对此家族有过分析,但此样本表现出了新的特征,如样本在运行时支持指定多个命令行参数来控制其行为,可见此勒索病毒仍在不断更新迭代。下文将从环境检测、准备工作、加密、横向渗透4个方面对样本进行分析。
样本开始执行后,首先会判断当前计算机语言设置,若是俄语、哈萨克语、白俄罗斯语、乌克兰语、鞑靼语,则样本直接退出,不加密任何文件。
2.1 将电源模式设置为高性能。
2.2 提权,通过获取“SeTakeOwnershipPrivilege”和“SeDebugPrivilege”对自身进行提权,方便后续执行需要特殊权限的操作。
2.3 删除反勒索软件Raccine的注册表项,让其失效。调用vssadmin.exe删除卷影。
2.4 调用bcdedit禁用自动修复。
结束Oracle、SQL Server、 MySQL 的相关进程。
插曲:此勒索病毒的编写者在将被结束的进程名称预置在样本中时,出现拼写错误,ReportingServecesService.exe(上图黄色背景处),其正确名称应为ReportingServicesService.exe
2.5 删除数据库相关服务。
2.6 若用户此时关机,则提示“Do NOT shutdown OR reboot your PC: this might damage your files permanently !”(不要关机或重启,这会永久损毁你的文件)。
2.7 隐藏开始菜单中的“关机”、“重启”、“注销”按钮,隐藏登录屏幕的“关机”按钮(加密完成后会重新显示)。
2.8 设置远程桌面在active、disconnected、Idle状态下,会话从不过期。
3.1 加密前,样本会收集本机信息,并通过互联网向外发送。收集的信息包括本机互联网出口IP、计算机名、系统架构、磁盘空间信息等。
其中,获取本机互联网出口IP时,会访问http://api.ipify.org。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)