勒索软件Locky、Tesalcrypt等用新工具躲避检测

2016-04-18 17:00:00 作者:红黑联盟 分类 : 比特网

  今天我们发现Locky勒索软件家族使用一种新的工具来躲避检测,并且可能已经感染了很多节点。

  自从我们通过AutoFocus智能威胁分析服务发现42个Locky勒索软件存在一定的变化,结合全局数据发现勒索软件家族已经被新型的工具进一步加密了。攻击者不断地寻找新的技术绕过安全机制,根据AutoFocus的数据源和威胁情报,这种技术已经被广泛应用了。

  在我们的分析中,多个恶意软件样本比较特殊的采用类似混淆API调用的,来源于嵌入的术语词典中,以解决系统的功能同时隐藏自己的真实功能以躲避静态分析工具。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181527141473.png

  传入API函数奇怪的变量名称

  通过关键字来处理API的调用,因此这样可以降低恶意软件的检测率。这也是比较有趣的地方,然而这只是一系列干扰研究员中的第一步。

  当我们查看这些新的样本时,这些加载库的导入表很明显都是不同的,并且在执行过程中根本都没有被使用。这些可以阻止任何通过导入表哈希值进行的有意义的检测。此外,这些可执行文件的版本信息表明,每个样本的信息都是多样性的,但是这些很明显的模式可以用于以后的鉴别。

  LegalCopyright Copyright \xa9 2017

  InternalName Phoneticist

  FileVersion 218, 158, 104, 112

  CompanyName Cyber Power Systems Inc.

  ProductName Nesting Punk

  ProductVersion 221, 202, 46, 180

  FileDescription Skittles

  LegalCopyright Copyright \xa9 2015

  InternalName Grated

  FileVersion 82, 233, 256, 103

  CompanyName SafeNet Inc.

  ProductName Geomagnetic Espadrilles

  ProductVersion 176, 194, 91, 229

  FileDescription Connectivity

  在每个恶意软件的样本中我们发现都嵌入了不同的字符串,一些使用了一些未使用。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181527171474.png

  (用词列表)

  仔细分析之后发现,作者使用大量的术语产生一些混淆的无意义的指令来试图让分析工作变得更加困难。下面图片中红色标注的地方是样本开始真正解压并通过PEB结构来定位Kernel32.dll基址。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181527291476.png

  (PEB开始处)

  每次运行时,将一个Dword数据和0x958B9963进行异或之后判断是否为要找的Kernel32.dll。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181527301477.png

  (上图找到目标DLL之后保存至寄存器中)

  现在有了Kernel32.dll的基址了,然后开始枚举函数,在执行过程中,不断的改变栈中的变量,来更深层次的达到误导的效果。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181527341478.png

  (函数迭代)

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181527401479.png

  (找到目标)

  一旦在kernel32.dll中找到VirtualAlloc函数,就开始在栈中安置一些变量来进一步达到隐藏和混淆的效果。在下图中,一旦栈布置好后,直接JMP至VirtualAlloc函数处,产生一个返回地址,这个地址最终存放解密数据。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181527511480.png

  (跳转至VirtualAlloc分配解密后数据的内存)

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181528301481.png

  (解密数据值分配的空间)

  一旦这个过程结束,恶意软件开始执行新解密的数据,并且还会通过迭代继续混淆自身。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181528451482.png

  (运行时自修正代码)

  还是回到刚开始的一些不规则的传入API函数的参数,这个第一线索开始改变。在这个阶段,你可以按照自修改直到下一个横线处。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181528501483.png

  (代码继续跳转至新的偏移地址,修改随后的指令)

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181528561485.png

  (JMP后的JMP,有一个隐藏很深的指令)

  这个最终会导致调用LoadLibraryA伪造的名字从而不会被映射,而这样的话最终会调用错误从而返回NULL,效果就是服务没有响应但是达到混淆的地步。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181528561487.png

  (更多的误导)

  一旦这些完成,开始分配其他的内存单元,然后开始拷贝并解密真正的恶意软件,和上面的过程相似。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181529051492.png

  (最后解压的Payload)

  当我们提取这个Payload时,可以证实这个就是真正的Locky并且可以被检测到。

http://www.2cto.com/uploadfile/Collfiles/20160418/201604181529111511.png

  Palo Alto已经证实了这种应用在Locky中的技术,但是我们同样在TeslaCrypt 和 Andromeda 恶意软件中检测到,时间追溯到2016.3.14。需要重点提及的是这种技术可以被动态分析检测出来,这种和WildFire的静态分析结合的技术可以保护Palo Alto网络用户免于威胁。

芥末视频

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。