频道栏目
首页 > 资讯 > 杀毒防毒 > 正文

Locky勒索软件通过电子邮件的传递过程分析

16-03-21        来源:[db:作者]  
收藏   我要投稿

 

勒索软件2.png

 

Locky是通过垃圾邮件活动传播的一种新型的勒索软件,这个新的恶意软件具有类似于Dridex木马的特征。

 Locky能够躲避反垃圾邮件过滤器(除其他事项外),并通过社会工程学手段试图诱骗用户打开电子邮件的Microsoft Office附件。一旦运行,Locky使用RSA-2048和AES-1024加密算法来的加密大量文件,然后要求受害者支付赎金,以恢复自己的文件。

Clipboard Image.png

Clipboard Image.png

 

垃圾邮件传递Locky勒索软件

我们使用oledump提取宏:

A: word/vbaProject.bin

A1: 533 ‘PROJECT’

A2: 95 ‘PROJECTwm’

A3: 97 ‘UserForm1/\x01CompObj’

A4: 290 ‘UserForm1/\x03VBFrame’

A5: 131 ‘UserForm1/f’

A6: 180 ‘UserForm1/o’

A7: M 34196 ‘VBA/Module1’

A8: M 1537 ‘VBA/ThisDocument’

A9: m 1336 ‘VBA/UserForm1’

A10: 6917 ‘VBA/_VBA_PROJECT’

A11: 1391 ‘VBA/__SRP_0’

A12: 110 ‘VBA/__SRP_1’

A13: 292 ‘VBA/__SRP_2’

A14: 103 ‘VBA/__SRP_3’

A15: 790 ‘VBA/dir’

.doc文件中包含一些嵌入的宏,下载Locky并感染主机。在本例的URL是:

hxxp://olvikt.freedomain.thehost.com[.]ua/admin/js/7623dh3f.exe

0×01 恶意软件的详细信息

该恶意软件同时具备反分析和抵抗沙盒系统一些保护措施:

Clipboard Image.png

Clipboard Image.png

 

Antidebug函数

为了采集系统环境的指纹,恶意软件作者通过启用一些API函数来规避自动化系统:

Clipboard Image.png

Clipboard Image.png

 

Locky调用API函数

0×02 恶意软件行为

Locky在下面的目录下创建一个副本:

C:\Users\Admin\AppData\Local\Temp\sysC4E6.tmp

感染过程中,Locky创建一些注册表值:

Clipboard Image.png

Clipboard Image.png

 

注册表值

HKCU\Software\Locky\id: A unique ID assigned to the victim.

HKCU\Software\Locky\pubkey: RSA public key.

HKCU\Software\Locky\paytext: Ransom note text.

HKCU\Software\Locky\completed: Ransom note text.

HKCU\Control Panel\Desktop\Wallpaper

(“%UserProfile%\Desktop\_Locky_recover_instructions.bmp”):修改桌面壁纸信息显示赎金:

Clipboard Image.png

Clipboard Image.png

 

Locky壁纸

类似于其他勒索软件,Locky在不同Tor域名的主机上还添加了文本信息。由于许多用户不熟悉木马文件,Locky提供了如何使用服务,如tor2web,指导帮助受害者更容易地访问隐匿服务器。

在感染的主机上,我们发现了勒索软件提供的.txt文件:

Clipboard Image.png

Clipboard Image.png

 

Locky勒索软件笔记

Locky搜索多种文件类型并进行加密:

 

.asm,.c,.cpp,.h,.png,txt, .cs, .gif, .jpg, .rtf, .xml, .zip, .asc, .pdf, .rar, .bat, .mpeg, .qcow2, .vmdk .tar.bz2, .djvu, .jpeg, .tiff, .class, .java, .SQLITEDB, .SQLITE3, .lay6, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .potx, .potm, .pptx, .pptm, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .dotm, .dotx, .docm, .docx, wallet.dat, 等等。

 

Locky删除其他副本文件:

Clipboard Image.png

Clipboard Image.png

 

调用VSSADMIN命令删除副本

0×03 Locky基本构造

访问隐藏的Tor网站后,用户会看到以下页面:

Clipboard Image.png

Clipboard Image.png

 

Locky解密页面

如果我们继续追踪,可以深入了解有多少用户通过支付手段恢复其数据:

Clipboard Image.png

Clipboard Image.png

 

Locky采用传统的控制服务器基础设施,并请求/main.php文件:

Clipboard Image.png

Clipboard Image.png

 

POST请求

Clipboard Image.png

Clipboard Image.png

 

Locky尝试与它的控制服务器进行通信

Locky还具有用于控制服务器的域生成算法(DGA)的能力。如果我们分析流量,可以看到请求的一些DGA域:

Clipboard Image.png

Clipboard Image.png

 

DNS请求到不同的控制服务器

每天,Locky尝试连接到世界各地的不同DGA域

Clipboard Image.png

Clipboard Image.png

 

0×04 与Dridex的联系

在我们分析Locky活动时,我们发现,他们和Dridex似乎共享了一些相同的基础设施。你可以在McAfee Labs阅读更多关于Locky威胁信息。

0×05 以检测结果

迈克菲实验室检测到的部分Locky哈希值列表:

 


d4dc820457bbc557b14ec0e58358646afbba70f4d5cab2276cdac8ce631a3854

d159fe802f509b67d319ea916cc6a052035a0c0f4412406b6b78d7db4d4035fc

5e945c1d27c9ad77a2b63ae10af46aee7d29a6a43605a9bfbf35cebbcff184d8

40f62d6dfa7d2429c8e1085f1460907d82cc6a48399038c07bdc5b38792f75b3

bc98c8b22461a2c2631b2feec399208fdc4ecd1cd2229066c2f385caa958daa3

0537fa38b88755f39df1cd774b907ec759dacab2388dc0109f4db9f0e9d191a0

4725019fb0a4574d1ad42bfa481ba1992002fe60811829a89955b3e538611123

85e6adb499916a6557b2beebcf44f0872908a2d2705058bfacc9d7bc4c5bc43e

e720f917cd8a02b0372b85068844e132c42ea2c97061b81d378b5a73f9344003

17c3d74e3c0645edb4b5145335b342d2929c92dff856cca1a5e79fa5d935fec2

d4ff4b73d7e89f80d78239a349c0197022c9d9306e5b59fdb71894040bc36489

48a84c3ecf57ffdb474f61edb43634c32663be2466e4c489ec11e029fc70c042

acee75cd346795ceb02fc30aa822d13c4132e64fd36b5244dd822199a5a0c0a7

976059c030c256db4a22d0fcbf2372cc3320877025154b5efeb3f7a1a26b1774

8fa81c2bce89adcb1cc246761775ebbf29cbc444be78c7a58a465f76f1cdf6c8

2cbf3ac4f304fa711e23d6a8a762451b7b06550d56b7bd688d4c6d1bee9984db

02b00f7615e1fd9091d947dad00dfe60528d9015b694374df2b5525ea6dd1301

77d66d710acddbe66a4f88b9db8775466a35948bad8716c188490ae0aca9a2f9

2a40da48c9dc3e20bc6e30c986306ceccbc2d8be55b355b7a73d95c1a54319a4

8842974b86c6101a5bbb18dc16dea293e4eb7a9656dbee241ecce7a677d2cdfc

4fd7543247c1f7f2fb5d1c7f99b52ad0a41fb07aa9f388c46a6c5920a848c19a

eb4d53a92e703d075787cebd97e06d1427d230f4872052a20f5d2f508fe1f663

56fc23c1eb3c4ea5f9f7911d8bfa0af6df762eb6e22d002ddad562568606acc0

3402902877ddfa71190745690048f6a6b77b9999083305b6fea52b0dfe03bec8

68244d5204518ab8b7f3564577b2bcc98c8fe0ea0aee39aa5518ffb5cf2689dc

a588eb64872257a23a1171c3dd8b79cff048fac5b3c1dac538e6ec03658a72f5

6a1c3a7498b3af751455d2e6b7fc45f0304c6946d59b389ec068686985b3e3d8

74ae3c7bbc041639c52e298f1e0334c52ba8c1126eb0daf94fbb7bee40a831f9

c543841ad16edfcf1098dffb9d4f656da5ac0f54857a2ffb79a799b305682053

b7404bed5dbb05463e1cad915a31e2a59b5dc7fe36c5bb901196fdd072ee1591

204068d89b32659c9872bae0197e56acddca26e20523e337991df0f46d608469

bbd7dcc8a064e73f1ef8f17feb7e7f8bc2f91bc90bbce03695e952c4c1acfa86

a7c67bd2a6e4c7902f70a4f44242bdd073aea34f6e0b29491de4ddeed8a879f0

01002fef15f67941430c8a7e0c841583bf3eb67907e79310218e5ba3668e4997

59f6b5e8b1829902c9b915c3c7a6f8842445e4f9508710d4bcacdb1f80fdc2ef

177bb96ae04cac947092c28957121be9001d2a347141d22a14aa6474d099dd33

bd12b97e2c0e80c899ac3fc595e46f4b5938e1e38c345195a535d25e0dd2d565

30587ec7becbff5e55f6effdd22075568d80eb4a06ce3104502d4d76004e16f3

36ded79221d444903554d693f5d93a5acada2454240da45b9a5257229eb21143

fb607732ec2e3393634b2ccb8a028ad5b77ad0d01ef4a682bcc3c9e40e5bd186

a62ebda2177dcaa163f49df590824213e1dca317f4c5d607d0edc806f0bc598c

210098efe6c332d372873e227f3d62a6f9630110746f775c4714a0d3805cfa09

d3654c1683a7596d3248aa8014e089162dd3c5f9075ee4791faa740f92f3068d

1b6b9079a36d36d94e4da712e315ff8c29e12513b001c9ae2af23fdb6a0b30a5

0a809215d4845bdc11b87b07a6c2a6acfc6ad837f6ce56abbde4cf7e03efc684

fc8e858023506da14dcdf7c581332bf961816cac3c342660f3a75949a366fa7b

5236d1e0f508409f8efe60cd4ccef67f4ce57fa40184849c16a1918f63d58573

09f3adee80045971982f1183607c4c8315c6e375a2e66b3ea8aa40d685d09cb6

214c0232e8543c80c7c6010319524231beab9d8689b8295f7e13296de886c15c

e28753324b22939b239ca234cdc25daa16ed318d98b6430ea941d8bbbf418cad

3b2507071a8ba09e223ffbfa8315e6d3537be2042d54166f5a698049e7a6a2b1

7ce2f7f147b442079a978dca43de24105b2c3cde254dc76c7d6be165d8cf8d7e

fc4d893ae0f496f13581abc708ef045d067fa7af5a06a9a1c3631f8c8b74d0df

ee6abe4a9530b78e997d9c28394356216778eaf2d46aa3503999e7d6bfbefe90

b1465aa094decb4d5749bdf5ed5df8da98cecea900ec719c45c2e2d630062934

5cacccb46693962c67a3aef0df9a538201a44d309993915057e98b00b59cf7c3

a9bba5afdb85f0b65493356ddb0b3bb29a3a9b311fc4435f04610ff05eba508e

c866dcfa95c50443ed5e0b4d2c0b63c1443ad330cb7d384370a244c6f58ce8a5

240b43dfc2712d7d40312e760bcca5f9c7c259bbfa115c866127027346cb2fa3

3eb1e97e1bd96b919170c0439307a326aa28acc84b1f644e81e17d24794b9b57

7a0602fffb1565eabb6a34016dc8692a08209b152aa490935fdcb4ac18ecddb4

 

 

相关TAG标签
上一篇:MongoDB单表数据的导出和恢复例子
下一篇:oracle11gdataguard线上维护问题记录
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站