Sodinokibi勒索病毒是去年最臭名昭著的勒索病毒之一,关于这个病毒样本的分析比较早就完成了,因为是以学习的目的进行分析, 所以分析过程尽可能比较详细地列出来。 分析结果可能存在一些遗漏或错误,也请大家指教。图片从word拷贝过来比较模糊,所以把idb文件放在附件了 (点击阅读原文获取),病毒样本哈希已列出,请自行通过VT等获取。这个样本来源于一封伪造的钓鱼邮件,该钓鱼邮件伪造邮件主题为“你需要偿还债务”,邮件内容为故意伪造的信息,并包含邮件附件名为“您的账号.zip”。下载附件并解压,是一个伪装成xlsx的可执行程序,文件名为“付款发票.xlsx.exe”, 样本详细信息如下:
该模块的流程图如下图2.1。将加密的PE文件拷贝到内存,解密出真正的PE文件后,再拷贝到text节区,跳转到OEP开始执行代码。2.1.1 WinMain()
该勒索病毒程序未加壳,可以先直接拖到IDA中进行静态分析。定位找到WinMain()主函数,主函数首先循环检测内存的使用情况,确定是否有可分配的内存空间。2.1.2 LoadPayload()
如果内存空间足够,则跳出循环,执行图2.1.1中54行的LoadPayload()函数。该函数首先导入了kernel32.dll模块,再获得GlobalAlloc的函数地址。第一次分配大小0x372bc和地址为0x212960的内存空间,并将加密数据拷贝到这个内存空间中。接下,又两次调用了AllocAndDecrypt()函数,分配了两次内存空间(地址0x249c28和0x280EF0)。每次调用都将数据解密且存入当前的内存空间中。最终调用virtualProtect函数将第三个内存空间(地址0x280EF0)赋予可读可写可执行的权限。该内存起始地址即为payload函数起始地址。2.1.3 payload()
在内存(0x280EF0)成功加载解密后的payload模块后,执行图2.1.1中55行的函数,进入payload模块区域执行代码。使用OllyDbg动态调试进入payload模块入口点。动态调试payload模块,首先获取了kernel32.dll模块的下列函数的地址。然后,payload模块又申请了一块内存空间,并将病毒真正的PE文件拷贝到这个内存。内存空间3D0000的这部分代码作用是将已解密的病毒PE文件覆盖到进程映像中。最后,PE文件覆盖完成,该模块执行完毕退出,“leave”指令的下一条指令“jmp eax”, 返回到主线程的00403c7c处。主线程403c7c跳转到病毒真正的入口点403c33。但是,虽然已恢复了病毒真正的PE文件,但还不能dump下来静态分析(否则文件无法修复IAT),还需要等待程序动态加载DLL模块。
主线程第一条指令(call 407267)即为调用导入模块函数(图2.4.1中命名为Load Modules),动态解密修复IAT。经过分析,IAT共修复了157+1=158个函数地址。
使用Scylla工具附加到正在调试的病毒进程,设置OEP点击“Get Import”,成功找到了IAT中158个导入函数地址。
病毒start函数总体结构如图2.4.1,下面对其中关键函数一一分析。2.4.1 CreateMutex()
2.4.2 DecryptConfig()
将配置信息导出,发现这是个json格式的文件,其各字段如下表:2.4.3 RunAsAdmin()
接着执行RunAsAdmin函数,确保程序以管理员权限运行。执行完这些准备工作后,下面进入main函数,执行病毒的功能模块。
病毒程序的整个功能模块分析后的逻辑如图2.5.1:2.5.1 BeforeCrypt()
图2.5.1的11行,这个函数体内做了许多操作,包括获取系统信息、注册表写入、构造勒索文本等。下面对其中关键函数进行分析。2.5.1.1 RegWriteKey()
2.5.1.2 GetUID()
这个函数,根据获得的用户的文件卷信息和处理器信息,进行CRC32计算得到特征值,然后拼接成用户的UID:2.5.1.3 RegWriteExt()
2.5.1.4 GetSomeParameters()
紧接着获取计算机名、用户名,这里还获取了宿主机的一些其他参数。2.5.1.5 GetKeyboardLayoutList()
获取本机系统语言,并于硬编码的语言列表进行比较(查阅资料得知大部分为东欧国家):如果是列表中的语言,则退出程序;否则,继续执行。2.5.1.6 SetRegAndReadme()
这个函数在注册表写入键名为随机值,键值为前面获取得到的系统信息的加密字符串。在勒索文本内存中添加{UID}{KEY}{EXT}的值。2.5.1.7 Readme
调用了SetReadmeName函数设置勒索信文件名。AppendReadme函数继续在Readme中补充数据。至此,这部分的生成加密密钥,获取系统信息计算作为标识ID,写入勒索文本等操作完成。2.5.2 RegWriteFilePath()
图2.5.1的16行,这个函数在注册表中写入病毒文件路径。
2.5.3 GetProcessSnapshot()
这个函数获取当前运行的进程,并与配置文件中的进程列表进行比较,如果相同,则结束该进程。2.5.4 CloseService()
图2.5.1的21行CloseService函数,连接服务控制管理器,删除存在配置文件中的服务(“svc”字段)。2.5.5 DeleteSystemShadowcopy()
图2.5.1的22行,这个函数的作用是删除系统卷影信息。首先,解密出base64加密了的powershell命令,然后调用“CreateProcessW”执行删除系统卷影的powershell命令。2.5.6 MainCrypt()
1. 创建了两个线程关联I/O完成端口分别执行入队和出队操作
2. 遍历所有文件夹,加密所有不在配置白名单(文件名和后缀)的文件;在所有文件夹下生成勒索文本和加密文件。
3. 多次获取宿主机的网络共享文件,并将其中的文件加密。
下面分析主要的加密函数TraverseFilesAndCrypt()。2.5.6.1 TraverseFilesAndCrypt()
如果是文件夹,则调用IsWhiteFolder函数判断是否属于不加密的文件夹。然后,调用CreateReadme函数,在当前文件目录下写入勒索信。如果是文件,则调用GetFileExt函数获取文件扩展名。接着,调用CryptFileAndWriteFileByIO函数,对文件进行加密,并将加密文件内容入队到I/O完成端口中。图2.5.6.7中的CryptFile加密函数,打开文件并获取了文件的读写属性,再调用真正的加密函数来加密文件。加密过程中,主线程进行加密计算,创建两个新线程,一个线程将I/O完成包入队到I/O完成端口,另一个线程出队将数据写入磁盘。这样可以加快文件加密效率。加密完成,效果如下,文件夹下包含勒索信和所有加密文件。2.5.6.2 GetNetResourceAndCrypt()
这个函数获取了宿主机网络共享资源,然后调用加密函数加密文件。2.5.7 SetWallpaper()
2.5.8 SendRequest()
这个函数,实现了如下功能:根据域名表构造url;向域名指向的服务器发送本机系统信息;处理返回的html文本信息。for循环遍历配置中域名表,GetDomian函数每次执行返回一个域名。然后调用JoinUrlAndSendHttpRequest函数,其函数逻辑如下。其中,首先调用了GenerateUrl函数生成一个URL。这个URL根据生成规则拼接而成的,拼接规则如下图。例如:"https://duthler.nl/static/temp/lourjqziro.jpg"调用SendHttpRequestAndGetRespone函数,向服务器发送HTTP消息,消息内容是存在注册表中的加密的宿主机系统信息:接着调用WinHttpReadData函数等待读取返回的html数据,但并未对返回的消息有实质的操作。分析时,其中一个C2服务器返回了一个HTML文件(但并未发现有实质内容,而且这些域名并非全是恶意域名)。病毒进程遍历完上千个域名发送http消息后,所有功能执行完毕,结束进程退出。1. 勒索软件Sodinokibi运营组织的关联分析https://www.antiy.com/response/20190628.htmlhttp://www.secwk.com/2019/09/23/7703/看雪ID:kumqu
https://bbs.pediy.com/user-860819.htm
*本文由看雪论坛 kumqu 原创,转载请注明来自看雪社区。好书推荐
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458303964&idx=1&sn=f5299654e4588aa612a3856ccf134162&chksm=b1818d5686f604401d34612be50692928ab17a78cb552d36c190ded4b2396ad9ba9c01ddc3d6#rd
如有侵权请联系:admin#unsafe.sh