电脑疯子技术论坛|电脑极客社区

微信扫一扫 分享朋友圈

已有 2479 人浏览分享

勒索DASH币CrySiS最新变种的同源分析

[复制链接]
2479 0
本帖最后由 zhaorong 于 2021-6-10 15:50 编辑

前言

CrySiS勒索病毒,又称为Dharma勒索病毒 首次出现于2016年 2017年5月此勒索病毒万能密钥被公布之后导致此勒索
病毒曾消失过一段时间不过随后该勒索病毒就开发了它的最新的一款变种样本 并于2018年开始在国内重新流行起来最
新变种的加密后缀为java,主要通过RDP暴破的方式进行攻击 这几年的时间里这款勒索病毒仍然一直在活跃 经常有朋
友通过微信找我咨询该勒索病毒的一些问题 近期笔者通过监控,发现了该勒索病毒的最新的变种,该变种改为了勒索
DASH币,主要通过钓鱼邮件的方式进行传播 此于为什么改为了使用DASH币,是不是因为最近BTC暴跌的原因 而且
各国都开始打击BTC了,所以黑客改为了使用DASH币。

DASH币于2013年上线 原名为暗黑币 2015年3月份改为达世币 达世币在全球范围里使用较广 覆盖了187个国家
超过3000多企业已经接受达世币付款 未来会不会有更多的勒索病毒黑客组织改为勒索DASH币 需要持续的观察
和监控 不过可以预测这会是一个趋势 勒索病毒黑客组织一直没有停止过运营,不管是病毒样本的更新 还是勒索
方式的改变,都在不断更新运营。

同时更多成熟的勒索病毒黑客组织开始加入到BGH活动当中 未来针对企业
的定向勒索会成为勒索攻击的主流方式。

勒索病毒

该勒索病毒运行加密文件之后 如下所示:

QQ截图20210610151044.png

弹出勒索提示信息框 如下所示:

QQ截图20210610151121.png

生成勒索提示信息文件FILES ENCRYPTED.txt,内容如下所示:

56.png

该勒索病毒的解密网站 如下所示:

29.png

输入加密的Key信息 会弹出下载解密工具的界面 需要支付DASH币后 就可以下载解密工具 如下所示:

QQ截图20210610151343.png

黑客的DASH币钱包地址:Xt18ynqfA8oTVapRYDRj3Sp1n18SrDvkWx

同源分析

很多朋友会问 该怎么样做同溯分析?我拿到一个样本 如何才能确定该样本是某个家族的一个最新的变种样本
还是一个未知家族的最新样本 为啥可以定位为是一个家族的样本以及是同一个黑客组织的攻击活动?很多人
搞不明白 下面我来给大家详细讲解一下吧,APT组织的归因分析也是一样的。

首先通过相关的监控渠道 每个厂商或安全研究人员都有自己的一些样本捕获渠道 有些是不公开的 有些是
大家都知道的 当捕获到一个样本之后,我们需要对样本进行初步的分析和判断 判断这个样本是做什么的?
挖矿 勒索 还是窃密 远控 后门 下载器等等之类的?

笔者监控到一个最新的样本 发现样本是2021年5月18日编译的 一般对这种最新的样本需要
重点跟进分析一下 样本时间戳 如下所示:

28.png

那我如何把它同源到CrySiS家族的呢?这个就需要你对一些恶意软件家族有一些前期
的积累分析才能快速同源到同一个家族或同一个组织。
首先从勒索提示信息入手 我之前分析过CrySiS的一个变种样本 它的勒索提示信息 与这次的勒索提示
信息差不多 但还是有差别的 如下所示:

26.png

既然勒索提示信息这么接近 那就看看二进制代码?我对之前捕获的一款CrySiS新的变种进行逆向分析
提取了里面的核心代码 然后再对比最新的这款病毒样本 对比结果 如下所示:

22.png

此前发现的CrySiS勒索病毒新变种的核心Payload代码与这次发现的勒索病毒代码相似度非常
之高 再深入分析一下Main函数里面的不同点 如下所示:

21.png

深入分析发现最新的变种增加了ip地址的获取的操作 如下所示:

20.png

还增加了磁盘操作行为 如下所示:

19.png

然后对比这两个样本的主功能函数 似乎是一样的 如下所示:

18.png

通过勒索提示信息和二进制代码这两个相似度 我们可以将这款最新的勒索病毒样本同源到是CrySiS勒索病毒的最新
一个最变种样本,到这里基本就完成了样本的同源分析 可以确定是一个家族的样本,我们再深入的研究一下最新的
这款勒索病毒背后的黑客组织是同一个组织吗?

通过深入的分析 这款最新的勒索病毒使用的攻击流程 如下所示:

16.png

此前笔者分析的CrySiS新变种使用的攻击流程 如下所示:

12.png

通过对比 相关信息:

(1)最新的勒索病毒样本存放使用了一个网站:ritarita.es 如下所示:

11.png

此前分析的CrySiS变种样本存放也使用了一个网站:nutrilatuamente.it,如下所示:

9.png

可以推判可能是黑客先攻击了这些网站服务器 然后利用这些网站来下载传播勒索病毒还
有一些黑客会自己创建网站来进行下载传播。
(2)从上面的攻击流程可以发现 两个病毒样本使用了同样的钓鱼邮件的方式 一个是利用发(Invoice)票信息
一个是利用收据 Quietanza 信息,然后最后都使用了脚本下载勒索病毒的方式,一个使用的HTA+JS脚本
一个使用宏+PowerShell脚本的方式。

通过上面的分析 这款最新的勒索病毒使用的攻击手法与此前我发现的CrySiS那款新变种的攻击手法
非常相似可以推判(猜测)这个勒索病毒最新的变种样本背后的黑客组织与此前发现的CrySiS新变种的
背后黑客组织应该是同一个组织。

笔者从样本信息(样本的危害 动态行为 静态二进制代码)以及样本攻击手法和传播方式等多个角度对捕获的这款最新的
样本进行了同源分析 可以判断监控到的这款最新的勒索病毒属于CrySiS Dharma 勒索病毒家族的最新样本 编译时间
为2021年5月18日 样本非常新 同时通过对攻击手法和流程的分析 可以大致猜测传播这款勒索病毒背后的黑客组织与
此前发现的CrySiS变种背后的黑客组织应该是同一个黑客组织。

总结

样本的归因以及同源分析其实是一项很复杂并且非常困难的工作 特别是发现一些最新的攻击样本的时候 你可能需要有
更多的数据来支撑你的结论 大多数时候 我们在分析的时候往往是凭借自身的经验和已经积累的相关数据来进行同溯分
析并证明自己的结论是有理有据的 专业度才能得到认可 同源分析到什么程度取决于你积累了多少有价值的数据以及你
的经验 就像笔者之前所说的,安全未来就两个有价值:人和数据,专业的安全人才未来需求会越来越多 因为原始安全
数据的积累也是需要靠专业的安全人才来完成的。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

9021

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.