安全狗对Locky软件的详细分析
近期(3.30)安全狗网络攻防实验室的安全研究人员在其工作邮箱中收到一封疑似携带恶意附件的垃圾邮件:
这封名为"payment confirmation"的邮件包含了一个名为"root_document_7775F1.rar"的附件,而且发
件人并不是来自常用联系人,因此这是一封钓鱼邮件的可能性极大。而且近期一系列的恶意软件攻击事件频发,所以更应该小心各种来历不明的附件。安全狗网络攻防实验室也在第一时间对该邮件中的附件进行了详细的分析。
0x01样本基本特征
首先解压"root_document_7775F1.rar",包含两个文件,其中一个名为"cc7c6191.js"脚本文件,另一个是名为”d”的隐藏文件:
很明显,"cc7c6191.js"脚本文件应该就是木马文件了,恶意软件的作者希望受害人打开附件中的js脚本文件来实现攻击目标,方法虽然很low但是却很实用,查看下"cc7c6191.js"的js代码:
"cc7c6191.js"
SHA256:3b07fc2567fd61c2c6782656a77f06ae4294f4ba8e068be84a527b1577e1cab0
这段js代码经过了简单的混淆,但是并不影响阅读。
首先创建MSXML2.XMLHTTP对象来与远程服务器zakaz-sharikov.ru/x9dslp进行通信
下载服务器上的木马文件:"x9dslp";
"x9dslp"
SHA256:CB6738F27E388D3CBC71D5506A35BE2A1ED863BE4947BEFDA82C35A97B5475F5
然后使用创建的ADODB.Stream对象将木马文件保存到用户的TEMP目录下,并更名为:"";
最后利用创建的WScript.Shell对象直接运行该文件,完成攻击。
将"cc7c6191.js"和"x9dslp"上传至virustotal,基本信息如下:
可以看到截止到目前(3.31),"cc7c6191.js"的检出率比较低,包括Kaspersky、McAfee、360等杀软都未能检测,而payload"x9dslp"检出率比较高。
0x02恶意软件行为
直接在虚拟机中执行"cc7c6191.js"恶意文件,一段时间后电脑中的数据被加密,并且在每个加密文件的目录下都会释放、help_instraction.bmp文件,桌面壁纸也被强制修改,最后加密的文件后缀被统一为".locky"。
根据这些结果,可以看出该软件为近期比较有名的Locky软件:
Locky软件的作者声称采用的是RSA-2048和AES-128算法对文件进行加密,如果想要解密文档需要支付3.00Bitcoin。
目前可被加密的文件类型如下:
.m4u.m3u.mid.wma.flv.3g2.mkv.v
.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3
.qcow2.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.tar.bz2
.tbk.7z.rar.zip.djv.djvu.svg
.bmp.png.jpeg.jpg.tif.tiff.NEF
.psd NaNd.bat.sh.class.jar.java.rb.asp.cs.brd
.sch.dch.dip.pl.vbs.vb.js.h.asm.pas.cpp.c
.php.ldf.mdf.ibd.MYI.MYD.frm.odb.dbf.db.mdb
.sql.SQLITEDB.SQLITE3.asc.lay6.lay.ms11(Securitycopy)
.ms11.sldm.sldx.ppsm.ppsx.
.odg.uop.potx.potm.pptx.pptm.std.sxd.pot.pps
.p.odp.wb2.123.wks.wk1.xltx.xltm
.xlsx.xlsm.xlsb.slk.xlw.xlt.xlm.xlc.dif.stc
.s.ods.hwp.602.dotm.dotx.docm.docx.DOT
.3dm.l.txt.CSV.uot.RTF.pdf.XLS.PPT
.dt.DOC.pem.key wallet.dat
本地执行过程
1.调用WMI service服务下载payload"x9dslp",拷贝至%TEMP%目录下,并将payload重命名为""
js代码加密软件SHA256:CB6738F27E388D3CBC71D5506A35BE2A1ED863BE4947BEFDA82C35A97B5475F5
2.执行"",与C&C服务器进行通信,进行文件加密前的准备:
3.加密完成后,在每个加密目录下创建文件,同时修改桌面背景:
4.调用删除所有的卷影副本,这样阻止受害者的系统通过卷影副本进行还原。
5.最后调用删除"":
注册表行为分析
添加注册表相关键值:
HKCU\Software\Locky\id:感染主机上分配的独立id。
HKCU\Software\Locky\pubkey:RSA public key.
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed
HKCU\ControlPanel\Desktop\Wallpaper(“%UserProfile%\Desktop\_Locky_recover_ins tructions.bmp”):将该bmp设置为桌面背景,并提示用户如何操作可以成功恢复被加密的文件。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。