找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 50884|回复: 0

[已解决] 赤豹安全实验室发布Clop勒索病毒分析报告

[复制链接]

主题

帖子

0

积分

版主

赤豹•泰山个人杀软QQ群:144195035

Rank: 7Rank: 7Rank: 7

积分
0
发表于 2019-2-27 20:40:58 | 显示全部楼层 |阅读模式
样本信息
样本名称:ClopRansomware.exe
样本家族:Clop
样本类型:勒索病毒。
MD5 0403DB9FCB37BD8CEEC0AFD6C3754314
8752A7A052BA75239B86B0DA1D483DD7
SHA1: A71C9C0CA01A163EA6C0B1544D0833B57A0ADCB4
6EEEF883D209D02A05AE9E6A2F37C6CBF69F4D89
文件类型:PE EXE。
文件大小:109,896  字节
传播途径:网页挂马、下载器下载等、U盘传播、贡献文件传播等
专杀信息:暂无
影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows10等等
样本来源:互联网
发现时间:2019.02.22
入库时间:2016.02.25
C2服务器:暂无
样本概况Clop是一个勒索病毒,病毒主要通过CR4\RSA加密算法对磁盘及共享磁盘下的所有非白名单的文件进行加密。病毒会结束一些可能占用文件导致加密失败的进程,并排除掉指定路径及文件(白名单)来保证系统正常运行不至崩溃。目前发现该病毒多种变种,主要是改变了运行方式及加密的公钥。该病毒还配有合法有效的数字签名。



样本危害该样本会加密磁盘上的文件,并生成勒索文档,由于加密算法的特殊性,加密的Key是根据原文件自己计算得出,所以基本无解密的可能性。
        应对措施及建议1). 安装防毒杀毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。
2). 尽量把文件设置为显示后缀,以避免误点类似的伪装为文件夹的病毒。
3). 大部分的病毒都需要以管理员身份运行,正常情况下使用计算机时尽量不使用超级管理员权限登录,在UAC弹窗的提示下尽量确认文件的安全性再运行文件。
4). 在使用移动介质前,应对移动介质内文件进行扫描确认不携带病毒文件。
5). 网络文件服务器,共享文件夹尽量设置密码并避免使用弱密码。
6). 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
7). 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
8). 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
        行为概述        文件行为1). 加密磁盘中所有文件并生成 “文件名”+.Clop后缀的文件
2). 生成勒索病毒文本ClopReadMe.txt
  
进程行为执行磁盘及网络磁盘的遍历,进行加密,进程名为病毒本身名字。
另外个别变种会创建名为SecurityCenterIBM的服务。
        注册表行为        无
        网络行为        无
        详细分析报告病毒执行流程:


  
  
  
由于该病毒有多个变种,但病毒主体加密代码基本一致,只有修改了代码运行的流程和运行方式,使其特征更难被发现。下面将对其中的2个变种进行详细分析。

变种一ClopRansomware文件分析:
  
1、样本也是同样先获取进程及线程,作了一些无用操作,并且循环666000次,来拖延时间反沙箱。



  
2、然后大量结束可能会占用文件的办公软件及数据库进程,来确保下面的感染过程顺利进行



3、KillProcess_By_Name函数内部:



4、然后创建互斥体CLOP#666检测样本是否已经运行



  
5、然后创建进程调用加密函数,加密网络共享磁盘



  
5.1线程内部:



  
5.2枚举网络共享磁盘,并调用Encryption_sub_40B480进行加密,加密过程和下方遍历本地磁盘的过程相同,稍后详细分析。



  
6、枚举本地磁盘,并开启线程进行加密



6.1开启线程内部:



  
Sub_40BE90函数内部先判断路径,再判断文件,避免加密了系统和关键文件,导致系统崩溃



如果不在排出列表内,则开启线程进行加密


  
详细分析StartAddress开启的线程
6.1先设置文件属性可读可写,然后通过映像的方式打开文件


  
6.2调用sub_40D200函数使用RC4算法获取公钥存放在NumberOfBytesWritten
[img=554,14][/img]



6.3并导出密匙的前0x75个字节作为RC4的密匙,如果使用WindowsAPI的函数导出密匙失败则使用默认密匙



  
  
6.4 sub_40D2E0则为加密文件的主体过程,稍后详细分析加密过程



  
6.5在当前路径下从资源中寻找SIXSIX解密后生成ClopReadMe.txt勒索文档



  
6.6创建文件,名字为原始文件名+.Clop,将加密的内容写入,并删除原始文件





  
7、然后获取了个指定的路径进行加密


  
8、sub_40D2E0加密函数的详细过程
8.1在获取详细密匙后,先填充了Sbox,然后用密匙key打乱Sbox




  
8.2 然后调用sub_40D330进行加密



  
由于加密所用的密匙Key为根据原文件获取,且认为每个文件都是唯一的,除非有原文件,才能解密出Key,所以基本无解密文件的可能。

变种二gmontraff.exe文件分析:
  
变种二主要是在变种一的前提下,增加了环境的判断,更换了指定的变量名,更换了RC4的密钥提取长度,并添加了一个服务作为感染运行的主体

1、样本先检查了是否有可运行的环境,如果不具备,则修改全路径参数,重新运行样本


函数sub_40D6A0修改全路径参数并运行:


  
2、然后该样本会创建一个名为“SecurityCenterIBM”的服务,并启动服务


  
3、sub_40D770函数就是服务运行的主体代码,服务内部开启了一个线程


  
4、相信分析线程的回调函数代码,发现样本先创建文件,获取本线程等等,并且循环了666000次,是为了反沙箱检测,并没有的实际的作用。


  
  
5、然后执行的sub_40E590函数从资源文件中加载SIXSIX1的文件,并解密该文件,解密完成后打开该文件,为勒索文档。




  
  
6、检查互斥体MoneyP#666是否存在,来验证加密程序是否在运行,如果在运行就退出



  
7、病毒运行后创建进程大量结束占用文件的进程




  
8、然后创建线程枚举共享网络磁盘进行加密




  
9、遍历本地磁盘进行文件加密


  
10、获取指定磁盘路径进行加密,并生成勒索文本


总结这是2019年比较新的勒索病毒,主要在韩国传播,近期有向国内传播的趋势,且发现多个变种。变种主要更改执行流程和部分特征来达到躲避检测的目的,且该边度很多危险行为,比如开机启动,拷贝自身文件等敏感操作都不具备,所以增加了查杀变种的难度。
目前该病毒加密后,虽然发了勒索文档,但是由于加密的特殊性,基本无法解密。
立足中国,走向世界,江民致力于成为中国反病毒领域的“西点军校”,江民科技→恶意代码分析与防御技术领导者!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

官方微信| Archiver|手机版|江民论坛

GMT+8, 2019-4-21 10:56 , Processed in 1.092704 second(s), 19 queries .

北京江民新科技术有限公司 版权所有 X3.4

Copyright © 1996- jiangmin.com All Rights Reserved

快速回复 返回顶部 返回列表