如何進行Netwalker無文件勒索軟件分析

如何進行Netwalker無文件勒索軟件分析，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

攻擊者正不斷研究更復雜的方式逃避惡意軟件檢測，近期發現攻擊者利用PowerShell編寫Netwalker勒索軟件，直接在內存中執行，沒有將實際的勒索軟件二進制文件存儲到磁盤中。惡意軟件利用了反射動態鏈接庫（DLL）注入的技術，也稱reflective DLL加載，可以從內存注入DLL，不需要實際DLL文件，也不需要任何Windows加載程序即可注入。

PowerShell分析

powershell腳本行為如下圖：

該腳本使用了多層加密，混淆和編碼技術，最頂層為base64編碼：

base64解碼將顯示下一層代碼，該層是十六進制編碼XOR加密：

解碼和解密后會顯示主要腳本，該腳本仍有混淆，分析人員難以讀懂內容：

該文件以反射方式將勒索軟件DLL注入到合法進程explorer.exe中， 勒索軟件以十六進制格式嵌入在腳本中。

腳本將其解碼產生兩個DLL，一個是勒索軟件的x86版本（用于32位OS），另一個是x64版本（用于64位OS）。它會對運行環境進行檢測，以便可以確定要使用的DLL版本：

它首先從kernell32.dll中找到所需功能的API地址：

然后計算內存地址：

腳本本身充當DLL加載程序，可以自行計算并解析定位其所需的內存地址。然后指定要注入的進程，搜索正在運行的Windows資源管理器進程。

通過以下代碼將勒索軟件DLL寫入explorer.exe的內存空間并執行：

最后刪除副本，防止受害者使用副本恢復文件。

無文件勒索軟件分析

Netwalker使用6個隨機字符作為擴展名重命名加密文件：

它將勒索信息放在系統各個文件夾中，并在對受害者數據文檔加密后打開，其內容為：

添加以下注冊表項：

HKEY_CURRENT_USER\SOFTWARE\{8 random characters}{8 random characters} = {Hex values}

勒索軟件會終止某些進程和服務，其中一些與軟件數據備份有關。以下是勒索軟件終止的一些服務示例（全部服務列表參照此報告）：

  *backup*    *sql*    AcronisAgent    ARSM    server Administrator    ShadowProtectSvc    wbengine    *sql*    excel.exe    ntrtscan.exe    powerpnt.exe    wbengine*    winword.exe    wrsa.exe

勒索軟件還會停止與安全軟件相關的進程，逃避安全軟件對其惡意活動的檢測防御。

Netwalker加密文件時主要針對常見用戶文件，例如Office文檔，PDF，圖像，視頻，音頻和文本文件等。 它通常會避免對關鍵文件，可執行文件，動態鏈接庫，注冊表或其他與系統相關的文件進行加密，防止系統完全失效。

總結與建議

攻擊者現在正在向勒索軟件中添加反射DLL注入，從而使攻擊難以被安全分析人員分析追蹤。勒索軟件本身對組織就具有很大的危害，成為無文件攻擊后，其風險再次加大。組織必須使用各種安全技術來保護其端點，例如采用行為監控和基于行為檢測的安全方案等。

以下是避免被勒索軟件攻擊的一些建議：

定期備份關鍵數據，減輕勒索軟件攻擊的影響；

安裝來自操作系統和第三方供應商的最新軟件補丁；

遵守良好的郵件和網站安全規范；

及時發現警告可疑的電子郵件和文件；

在端點上實施應用程序白名單，阻止所有未知和不需要的應用程序；

定期組織員工進行安全培訓。

IOCs

看完上述內容，你們掌握如何進行Netwalker無文件勒索軟件分析的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！