首页
社区
课程
招聘
[原创]【病毒分析】Steloj勒索病毒分析
发表于: 2024-7-9 15:30 6650

[原创]【病毒分析】Steloj勒索病毒分析

2024-7-9 15:30
6650

近期,Solar团队收到某汽车制造公司的援助请求,该公司的计算机服务器受到了Steloj勒索家族的侵害,所有的文件被加密并且添加了.steloj后缀,该勒索软件的初始入侵方式是MSSQL数据库弱口令进行入侵,后续通过XP_CMD 获取系统 system 权限 进行命令执行。应客户的要求,本文暂不提供对入侵事件溯源的分析报告,仅提供该勒索病毒加密器的逆向分析报告。

文件名

SQLcn052511321ALL.exe

大小

678912(663.00 KiB)

操作系统

Windows(Vista)

架构

I386

模式

32 位

类型

GUI

字节序

LE

MD5

c8ce1e35a68c3ce7b2485855b7d82dfc

SHA1

941deaad4c2b78998447f6735a88076f62e5f739

SHA256

bad9957fd18dfa2e4231a61e1c8bb5861c52710fdf1735ebe9dc28f744c37cd7

README_WARNING.txt

病毒家族

steloj

首次出现时间/捕获分析时间

2024.06.01 || 2024.06.10

威胁类型

勒索软件,加密病毒

加密文件扩展名

.steloj

勒索信文件名

README_WARNING.txt

有无免费解密器?

联系邮箱

steloj@lycos.com

检测名称

Avast (Win32:Malware-gen), AhnLab-V3 (Trojan/Win.Generic.C5576951), ALYac (Gen:Variant.Tedy.512515), Avira (no cloud) (TR/Ransom.imrnt), BitDefenderTheta (Gen:NN.ZexaF.36802.yq0@aSdxC8m), CrowdStrike Falcon (Win/malicious_confidence_100% (W)),Cylance(Unsafe),DeepInstinct(MALICIOUS),Emsisoft(Gen:Variant.Tedy.512515 (B)),ESET-NOD32(A Variant Of MSIL/Filecoder.LU),GData(Gen:Variant.Tedy.512515), Ikarus (Trojan.MSIL.Crypt),K7GW(Trojan ( 0052f4e41 ))

感染症状

无法打开存储在计算机上的文件,以前功能的文件现在具有不同的扩展名(.steloj)。桌面上会显示一条勒索要求消息(README_WARNING.txt)。网络犯罪分子要求通过洋葱路由登录到他们提供的数据恢复网站,根据不同的用户情况,黑客的开价也不同

感染方式

受感染的电子邮件附件(宏)、恶意广告、漏洞利用

受灾影响

大部分文件(不包括exe dll等文件,与重要系统文件)都经过加密,如果不支付赎金无法打开。黑客声称拿到了电脑内的重要数据,若不支付赎金则会在黑客的blog上公开

加密后:

解密后:

文件的大小增加了1032Byte,经过多次实验结果仍然相同,具体请看下面的加密完毕后的标志写入处内容。

外部调用是创建了一个线程实现的对del_all_shadows函数的调用

del_all_shadows函数:

存在对字符串解密的情况,解密后,winExec执行的命令是:

创建了以“{8761ABBD-7F85-42EE-B272-A76179687C63}”为名称的信号量,防止在加密的过程中,产生线程资源访问冲突问题。

管理员模式启动

这里会先通过进程Token中的信息来判断是否是管理员身份启动,若是管理员则不通过sub_F3829E函数来重新以管理员的模式启动程序。

sub_F3829E函数:

该函数会先获取当前程序运行的路径,然后设置管理员启动参数,最后调用ShellExecuteExW函数来执行,以实现管理员权限的启动,w10环境下会弹窗。

通过对注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System的EnableLinkedConnections设置为0,以实现对多权限网络共享访问网络共享的关闭。

向桌面写入beforePShell.txt文件

这里会向桌面写入一个beforePShell.txt文件,但是这里因为encode_last+10217变量为0,所以不会执行。

寻找物理空闲倦,如果存在,将对系统上的空闲倦实行挂载。

find_free_mem函数实现:

通过将自身写入到Software\\Microsoft\\Windows\\CurrentVersion\\Run注册表中,并且键为MSFEEditor,值为该文件路径。

这里的通信地址未设置,并且并未开启通信功能,所以不会执行。

这里会下载洋葱路由,然后对其进行解压,并且调用,以实现对暗网的通信

这里会调用AutoSeededRandom函数来生成32位的随机数,并将此当作加密的Key。

这里会使用RSA将上面生成的KEY加密,并且换成HEX形式,保存到Buffer中,并且会清空加密前的对象。

根据加密密钥的内容,取前几位当作加密的ID,将其替换到勒索信ID中

produce_ransom_note函数:

内存中勒索信的内容:


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 107
活跃值: (335)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
清晰专业~学习喽。
2024-7-12 14:08
0
雪    币: 7082
活跃值: (2978)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
分析的很透彻 学习
2024-7-12 14:26
0
游客
登录 | 注册 方可回帖
返回
//