溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹了ProLock勒索軟件的示例分析,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。
當各個組織正忙于應對全球疫情的時候,新一波的勒索軟件攻擊又悄悄開始了。這款名為ProLock的勒索軟件,是2019年底出現的PwndLocker勒索軟件的變種版本。PwndLocker的傳播時間非常短,主要是因為很多用戶發現解密文件所需的密鑰可以從惡意軟件本身來獲取,這樣就無需支付贖金了。但是,今年三月份出現的ProLock正好相反,因為目標用戶在支付了贖金之后,接收到的卻是一個存在問題的解密工具,而這個解密工具將會損壞目標用戶設備中已被勒索軟件加密的數據。
這種錯誤可能與ProLock加密文件時所采用的異常方式有關,因為ProLock在加密文件時,會跳過小于8192字節的文件,并且會對第一個8192字節之后的大文件進行加密。這樣一來,將導致文件部分可讀,部分被加密。
ProLock可以通過多種方式來獲取目標網絡的訪問權,其中還涉及到一些第三方漏洞的利用。而且根據Group-IB的研究人員透露的信息,有一些ProLock受害者是通過QakBot銀行木馬所執行的腳本感染的。FBI還指出,QakBot是ProLock的初始感染手段之一,除此之外還有利用網絡釣魚郵件和存在錯誤配置的RDP服務器等等。研究人員表明,最早的ProLock入侵行為是通過遠程桌面協議(RDP)連接來實現的。
ProLock攻擊著還會利用初始攻擊所獲得的訪問權限來進行一些網絡偵察活動,并在開始勒索軟件攻擊之前竊取一些用戶敏感數據。在研究的過程中,研究人員對目標系統中存儲的四個與勒索軟件相關的文件進行了分析,這些文件是從一個遠程服務器下載下來的,相關的IP地址已經作為入侵威脅指標發布在了SophosLabs的GitHub庫中了:
C:\ProgramData\WinMgr.bmp C:\ProgramData\WinMgr.xml C:\ProgramData\clean.bat C:\ProgramData\run.bat
ProLock惡意軟件依賴于Windows Batch腳本,Windows計劃任務(schtasks.exe)和PowerShell來發動其攻擊。勒索軟件鏈由run.bat腳本文件作為起始,它會創建一個Windows任務并使用WinMgr.xml來配置任務,然后執行clean.bat腳本。當該腳本由計劃任務執行之后,clean.bat將會執行一個Base64編碼的PowerShell腳本,并從一個名叫WinMgr.bmp的圖片文件中提取出ProLock的可執行文件,然后將其加載進內存中并執行。
下圖顯示的是clean.bat中嵌入的部分Base64編碼腳本代碼:
下圖顯示的是WinMgr.bmp中的部分腳本代碼:
下圖顯示的是WinMgr.bmp的圖形內容,其中隱藏了ProLock惡意軟件Payload,這里使用了隱寫術:
我們在分析一個ProLock樣本時發現,它使用了一段自修改的代碼來隱藏了去中的部分內容,這段代碼隱藏了部分文本字符串和其他元素。正如惡意軟件開發中常見的那樣,ProLock程序被故意設置為不允許調試,從而使研究人員更難通過受控的方式來運行它。
下圖顯示的是惡意軟件樣本執行過程中的部分混淆代碼:
下圖顯示的是ProLock二進制文件自修改前后的代碼對比:
接下來,代碼會對其自修改的部分進行解碼,導入DLL,并設置好其需要使用的功能函數。設置完成后,便會開啟一個新的線程,然后將第一個線程設置為休眠(一種反分析技術)。隨后,惡意軟件將遍歷目標設備的注冊表以尋找潛在的安全策略設置。出于某種原因,惡意軟件會將IE瀏覽器的安全策略設置進行修改,關掉IE的通用命名約定路徑,并啟用自動Intranet映射,然后開始尋找可能會阻礙數據加密/銷毀的應用程序以及服務。
通過調用Windows的CreateToolhelp32snapshot.dll,惡意軟件還會存儲所有正在運行進程的快照,并通過對照一個內置列表來進行進程檢查,然后試用taskkill.exe實用工具來關閉所有與該列表匹配的進程,比如說一些Microsoft Office程序、Firefox瀏覽器、Thunderbird郵件客戶端以及安全軟件組件等等。勒索軟件會終止這類進程,以確保用戶文件沒有處于鎖定或打開狀態,從而實現數據的成功加密。
接下來,惡意軟件將會試用net.exe來嘗試關閉與企業應用程序、安全軟件和備份軟件相關的150多種服務和進程。這一操作的目的同樣是為了排除數據加密的其他干擾因素。
然后,為了防止本地文件恢復,ProLock將會通過執行下列命令來刪除本地文件的“卷影副本”vssadmin.exe文件(Windows的卷影復制服務):
delete shadows /all /quiet resize shadowstorage /for=c: /on=c: /maxsize=401MB resize shadowstorage /for=c: /on=c: /maxsize=unbounded
注意事項:勒索軟件針對的進程和服務的完整列表發布在SophosLabs的GitHub上【傳送門】。
此時,當目標主機上所有的安全防護措施都已經失效之后,勒索軟件將會開始檢測目標主機上所有已加載的存儲介質,并遍歷本地或網絡驅動器的目錄結構,這一部分操作都是通過powershell.exe進程來實現的。
當它每讀取到一個文件時,首先會檢查文件大小,如果文件小于8192字節(十六進制為0x2000),則跳過該文件。否則,它將從8192字節之后開始加密文件。加密文件后,擴展名.prolock會附加到其文件后綴之后。比如說,a_very_large_text_file.txt就會變成a_very_large_text_file.txt.prolock。
下圖顯示的是PreLock加密后的文件截圖:
下圖顯示的是文件加密前后的數據對比:
當勒索軟件完成每個目錄內的文件加密之后,它會將一個名為[HOW TO RECOVER FILES].TXT的文件寫入到目錄內,該文件包含的就是勒索信息。
感謝你能夠認真閱讀完這篇文章,希望小編分享的“ProLock勒索軟件的示例分析”這篇文章對大家有幫助,同時也希望大家多多支持億速云,關注億速云行業資訊頻道,更多相關知識等著你來學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
