警惕!Paradise(天堂)勒索病毒再度来袭。

一、样本简介

近日,深信服安全团队接到客户反馈,主机被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为Paradise勒索病毒的变种版本,并对此勒索病毒样本进行深入的分析。Paradise(天堂)勒索病毒最早出现在2018年七月份左右,感染多家企业。此次的变种借用了CrySiS家族的勒索信息,代码结构也跟早期版本有了很大的区别。

勒索信息弹窗:

41.png 

勒索信息文件:

42.png

加密后的文件名:

[原文件名]_[随机字符串]_{[email protected]}.p3rf0rm4

43.png

二、详细分析

1. 勒索病毒母体样本,使用UPX加壳,如下所示:

01.png

2.获取函数CreateToolhelp32Snapshot、Module32FirstW的地址,如下所示:

02.png

3.在内存解密相关数据,修改该内存属性为可读取执行,如下所示:

03.png

4.在内存中对数据进行再次解密,得到相应的代码,如下所示:

04.png

5.跳转执行解密出来的代码,如下所示:

05.png

6.搜索定位GetProcAddress函数地址,如下所示:

06.png

7.通过GetProcAddress函数获取LoadLibraryA函数地址,如下所示:

08.png

8.通过上面获取的LoadLibraryA、GetProcAddress函数得到一系列函数的地址,如下所示:

08.png

相关的函数,如下所示:

VirtualAlloc、VirtualProtect、VirtualFree、GetVersionExA、TerminateProcess、ExitProcess、SetErrorMode

9.获取操作系统版本信息,如下所示:

09.png

10.通过VirtualAlloc分配相应的内存,再内存中解密核心Payload的PE文件,如下所示:

10.png

11.后面通过VirtualProtect修改0x00400000内存地址属性,并将解密的Payload代码复制到0x00400000地址处,如下所示:

11.png

12.跳转执行到0x00400000内存段中的Payload入口代码处0x00402657,如下所示:

12.png

13.通过GetUserDefaultLangID获取操作系统语言ID,如下所示:

13.png

如果操作系统语言为:

Russian俄国、LANG_KAZAK哈萨克族、LANG_BELARUSIAN白俄罗斯、LANG_TATAR俄罗斯

则执行ping 127.0.0.1命令,并删除自身,如下所示:

14.png

14.读取程序资源ID为1的资源数据,如下所示:

15.png

里面包含相应的RSA密钥以及勒索信息等信息,如下所示:

16.png

15.关闭Windows Defender安全软件,如下所示:

17.png

16.拷贝自身到相应的目录,进行持久化操作,如下所示:

18.png

17.同时生成相应的勒索信息HTA文件,如下所示:

19.png

18.将自身和勒索信息相关文件拷贝到启动目录下面,文件名为生成随机字符串,如下所示:

20.png

拷贝之后,生成相应的文件,如下所示:

21.png

19.通过ShellExecuteW执行runas启动程序,如下所示:

22.png

20.删除磁盘卷影操作,如下所示:

23.png

21.遍历进程,结束相应的进程,如下所示:

24.png

进程列表,如下所示:

25.png

22.停止相应的服务,如下所示:

26.png

相应的服务列表,如下所示:

27.png

28.png

23.生成相应的加密密钥,如下所示:

29.png

24.遍历磁盘目录,然后创建加密线程,加密文件,如下所示:

30.png

25.枚举网络共享文件夹目录,然后创建加密线程,加密文件,如下所示:

31.png

26.加密线程,遍历磁盘和共享目录,然后加密文件,如下所示:

32.png

如果目录包含为以下目录字符串,则不进行加密,相应的字符串列表,如下所示:

· Windows、$Recycle.bin、System Volume Information

· Program Files、Program Files (x86)

同时每个加密的目录下,生成Instructions with your files.txt的勒索信息文本文件。

32.png

27.加密文件的过程,如下所示:

33.png

28.生成并弹出Instructions with your files.txt勒索信息文本文件,如下所示:

34.png

29.弹出生成的HTA勒索信息文件,如下所示:

35.png

30.发送请求连接https://iplogger.org/1t8zw7网站,获取收害者IP地址,如下所示:

36.png

三、解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒防御

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

近日,深信服安全团队追踪到公有云上及外部Linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务。多个用户邀请深信服安全专家远程排查,最终经过分析确认,用户Linux服务器被植入新型恶意挖矿蠕虫,且较难清理。

深信服安全团队将其命名为WatchDogsMiner,并紧急发布预警,提醒企业用户及时开展自查修复,防范WatchDogsMiner挖矿蠕虫。

· 病毒名称:WatchDogsMiner

· 病毒性质:挖矿蠕虫

· 影响范围:国内不少用户受感染,包括公有云用户

· 危害等级:高危

· 传播方式:基于Redis未授权访问、集成SSH爆破实现内外网的蠕虫式传播。

如何确认是否中毒

通过服务器终端进行检查发现部分常用命令被删除后出现未找到命令:

01.png

authorized_keys文件被清空无法使用免密登录:

02.png

系统内置的mail邮箱也出现相关的通知类邮件,查看发现有定时任务的通知与相关的命令:

03.png

在计划任务的相关路径下发现一个root的计划任务:

04.png

使用深信服安全感知平台的用户,安全感知平台主动提示主机出现虚拟货币挖矿、数据库扫描、SSH暴力破解等多个安全事件:

05.png

病毒分析

[1] WatchDogsMiner整体比较复杂,病毒母体为一个sh脚本,来自pastebin.com/raw/sByq0rym

[2] sh脚本主要做了两个操作,净化主机环境,然后下载并运行挖矿病毒体。

[3] 挖矿病毒是一个elf文件,从thyrsi.com/t6/672/1550667479×1822611209.jpg处下载得到。

[4] 挖矿病毒使用go语言编写,病毒会通过SSH和Redis未授权访问进行传播,然后以守护进程的方式进行挖矿,挖矿的币种为门罗币。

06.png

WatchDogsMiner挖矿毒体分析

WatchDogsMiner病毒程序是由go语言编写的elf文件,程序包含了网络通信模块、加密算法、Redis攻击、SSH暴力破解、挖矿等自实现功能。

详细分析如下:

启动,执行pastebin上保存的母体脚本:

07.png

08.png

将挖矿模块写入/tmp/ksoftirqds并执行。

Redis攻击模块:

09.png

10.png

SSH暴力破解模块:

11.png

母体脚本功能分析

定时指定链接,执行母体脚本,并结束其他挖矿进程:

12.png

修改所需要操作的目录属性,删除定时任务及服务,清理billgates病毒相关进程和文件:

13.png

更新挖矿木马:

14.png

最后进行清理工作:

15.png

解决方案

WatchDogsMiner病毒清理:

1、删除恶意动态链接库 /usr/local/lib/libioset.so;

2、清理 crontab 异常项,删除恶意任务(无法修改则先执行4-a);

3、使用kill命令终止挖矿进程;

4、排查清理残留的病毒文件;

a.chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

b. chkconfig watchdogs off

c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

5、相关系统命令如netstat等可能被病毒删除,建议重新进行安装恢复;

6、由于文件只读且相关命令被hook,需要安装busybox并使用busybox rm命令删除;

7、部分操作需要重启机器生效。

WatchDogsMiner病毒防御:

1、为 Redis 添加密码验证;禁止外网访问 Redis;以低权限运行Redis服务。(重启 Redis 才能生效。)

2、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

一、背景介绍

Ryuk是一款通过垃圾邮件和漏洞利用工具包传播的勒索病毒,最早在2018年8月由国外某安全公司报道,其代码结构与HERMES勒索病毒十分相似;早前,深信服安全团队针对32位的Ryuk勒索病毒进行了详细的技术分析,并密切关注该勒索家族的发展动向,对捕获的针对64位系统版本的Ryuk勒索病毒进行了详细的技术分析。

二、信息概述

1.勒索病毒的运行流程如图:

Ryuk勒索病毒.png

2.勒索信息如图:

24.png

3.加密后文件如图:

29.png

三、详细分析

1. 获取系统版本进行判断:

01.png

2. 线程功能-终止xchange相关进程:

image.png

image.png

3. 线程功能-查找spooler相关服务进行删除:

image.png

image.png

4. 提升进程权限:

image.png

5. 获取进程的登录用户信息:

image.png

6. 查找"csrss.exe"、"explorer.exe"、"lsaas.exe"进程中的一个进行注入:

image.png

image.png

7. 执行注入进程的代码,根据系统版本在系统目录下创建文件夹:

image.png

image.png

8. 获取API地址:

image.png

9. 提升注入进程的权限:

image.png

10. 生成AES密钥并使用RSA公钥进行加密:

image.png

11. 解密出勒索文件信息:

image.png

image.png

12. 遍历磁盘,对文件进行加密:

image.png

13. 在根目录释放勒索文件“RyukReadMe.txt”:

image.png

14. 排除”$Recycle.Bin”、”AhnLab”、”Chrome”、”Mozilla”、”WINDOWS”、"RyukReadMe.txt"、"UNIQUE_ID_DO_NOT_REMOVE"、"PUBLIC"目录或文件,以及” dll/Dll/hrmlog/exe/EXE”类型的文件:

image.png

image.png

15. 加密满足条件的文件:

image.png

16. 对加密文件设置已加密标识:

image.png

17. 重命名加密后的文件,添加”.RYK”后缀:

image.png

 

四、解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒防御

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。

7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

在2019年2月19日,国外安全人员在博客中的披露了一则Wordpress 5.0.0版本远程代码执行漏洞。该漏洞本质上是由一个目录遍历漏洞以及一个本地文件包含漏洞组合利用而导致的一个远程代码执行漏洞。当攻击者获取到WordPress站点具有一定访问权限的账户后,即可利用该漏洞在底层服务器上执行任意PHP代码,从而实现完全远程接管服务器的目的。

WordPress组件介绍

WordPress是使用PHP语言开发的CMS系统,是网络上最受欢迎的CMS之一,也是一款个人博客系统。根据w3tech的资料显示,约有30%的网站在使用它,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站或者使用自己的博客。 

WordPress官方支持中文版,同时有爱好者开发的第三方中文语言包,如wopus中文语言包。WordPress拥有成千上万个各式插件和不计其数的主题模板样式。

漏洞描述

WordPress 5.0.0远程代码执行漏洞产生的背景是利用WordPress文件上传的一个特性。当WordPress上传一张图片时,首先这张图片会被放置到uploads目录下(wp-content/uploads),同时WordPress还将创建对数据库中图像的内部应用,以来跟踪上传文件的源信息,例如图像的上传时间或者图像的所有者。该源信息将会被作为Post
Meta条目存储在数据库中。这些信息都被保存在wp_postmeta表中,数据是以键值对形式保存。如下图:

图片1.png

如果之后用户需要修改或者使用对应ID的文件,WordPress将查找匹配的_wp_attached_file源条目并使用它的值以便在wp-content/uploads目录中查找到该文件。

该漏洞通过对Post Meta条目的路径遍历以及利用WordPress主题库进行本地文件包含,最终覆盖掉一个特定的Post Meta条目,可以实现将原本文件的Post Meta绑定到一个恶意文件上,导致远程代码执行漏洞。

漏洞分析

1. 漏洞核心原理“Post Meta”的条目可以被覆盖

在WordPress 4.9.9 之前的版本以及WordPress  5.0.1之前的版本,WordPress文件上传产生的Post Meta的所有条目皆可被修改,并且他们的value值可以任意重置。当一张图片被更新的时候,将会调用/wp-admin/include/post.php中的edit_post()函数。

图片2.png

我们可以通过edit_post()函数向数据库注入任意Post Meta条目。由于系统未对Post Meta条目的修改进行检测,因此攻击者可以更新_wp_attached_file元条目并将其设置为任何值。这不会重命名任何文件,它只会更改WordPress在编辑图像时要查找的文件。这一点将导致稍后的路径遍历。

2. 通过修改“Post Meta”的来实现路径遍历

路径遍历发生在用户裁剪图像时调用的wp_crop_image()函数中。

图片3.png

该函数将图像的ID带到crop($attachment_id)中,并从数据库中获取相应的Post

Meta条目_wp_attached_file的值。由于之前edit_post()存在的缺陷,$src_file可以设置为任何值。由于缺陷edit_post(),$src_file可以设置为任何值。

在下一步中,WordPress必须确保图像实际存在并加载它。WordPress有两种加载给定图像的方法。第一种是简单地查找目录中Post Meta条目中_wp_attached_file提供的文件名wp-content/uploads。

如果该方法失败,WordPress将尝试从其自己的服务器下载图像作为后备。为此,它将生成一个下载URL,该URL包含wp-content/uploads目录的URL 和存储在Post Meta条目中_wp_attached_file的文件名。

举一个具体的例子:如果存储在Post Meta条目中_wp_attached_file 的值是evil.jpg,那么WordPress将首先尝试检查文件wp-content/uploads/evil.jpg是否存在。如果没有,它会尝试从以下URL下载文件:https://targetserver.com/wp-content/uploads/evil.jpg

尝试下载图像而不是在本地查找图像的原因是某些插件在访问URL时会动态生成图像。

WordPress将简单地将上传目录和URL与$src_file的用户输入连接起来。一旦WordPress成功加载了有效图像wp_get_image_editor(),它将裁剪图像。

裁剪结束后,WordPress会将裁剪后的图像保存回文件系统(无论是否下载)。生成的文件名将是$src_file由get_post_meta()攻击者控制的返回文件。对结果文件名字符串进行的唯一修改是在文件的基本名称加前缀cropped-。为了遵循示例evil.jpg,生成的文件名将是cropped-evil.jpg。

图片4.png

然后,WordPress通过wp_mkdir_p()在结果路径中创建不存在的任何目录。

最后使用save()方法将其最终写入文件系统。该save()方法还不对给定的文件名执行路径遍历检查。

3. 最终利用本地文件包含来实现远程代码执行

根据之前的路径遍历,我们可以利用主题系统的本地文件包含来最终实现远程代码执行。每个WordPress主题只是一个位于WordPress目录中的wp-content/themes目录,为不同的案例提供模板文件。例如,如果博客的访问者想要查看博客帖子,则WordPress会在当前活动主题的目录中查找一个post.php文件。如果它找到了对应模板,那将包含该模板。

为了添加额外的自定义层,可以为某些帖子选择自定义模板。为此,用户必须将数据库中的Post Meta条目的_wp_page_template设置为自定义文件名。这里唯一的限制是要包含的文件必须位于当前活动主题的目录中。

通常,用户对于当前活动主题的目录无法访问此目录,也无法上传该文件。但是,通过使用上述路径遍历,就可以将恶意制作的图像植入当前使用的主题的目录中。然后攻击者可以创建一个新帖子也使用上述的路径遍历错误,最终能够够更新 Post Meta条目中的_wp_attached_file,以便可以包含该图片。通过将PHP代码注入图片,攻击者就可以远程执行任意代码。

影响范围

目前据统计,在全球范围内对互联网开放Wordpress网站的资产数量多达12833569台,其中归属中国地区的受影响资产数量为18万以上。

目前受影响的WordPress版本:

Wordpress 5.0.0

修复建议

Wordpress官方已经在 WordPress 5.0.1更新了安全补丁,用户可以更新至WordPress 5.0.1之后的版本:

https://wordpress.org/download/

参考链接

https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/

在2019年1月,国外安全人员在Ubuntu Linux的默认安装中发现了一个权限提升漏洞。这是由于snapd API中的一个错误,这是一个默认服务。任何本地用户都可以利用此漏洞获取对系统的直接root访问权限,CVE编号CVE-2019-7304。 

为了简化Linux系统上的打包应用程序,各种新的竞争标准正在出现。Canonical,Ubuntu Linux的制造商,正在推广他们的“Snap”软件包。这是一种将所有应用程序依赖项转换为单个二进制文件的方法 – 类似于Windows应用程序。

Snap生态系统包括一个“应用程序商店”,开发人员可以在其中贡献和维护随时可用的软件包。

管理本地安装的Snap以及与此在线商店的通信部分由名为“snapd”的系统服务处理。此服务自动安装在Ubuntu中,并在“root”用户的上下文中运行。Snapd正在发展成为Ubuntu操作系统的重要组成部分,特别是在用于云和物联网的“Snappy Ubuntu Core”等更精简的旋转中。

漏洞描述

snapd提供附加到本地UNIX_AF套接字的REST API。通过查询与该套接字的任何连接相关联的UID来完成对受限API函数的访问控制。在for循环中进行字符串解析期间,可能会影响用户控制的套接字对等数据以覆盖UID变量。这允许任何用户访问任何API函数。

通过访问API,有多种方法可以获取root。下面提到了两种可能性:

1.使用“create-user”API根据从Ubuntu SSO查询的详细信息创建本地用户。

2.Sideloads Snap包含一个生成新本地用户的install-hook。

漏洞复现

首先我们保证有一个叫vulnbug_spyder的低权限用户,我们查vulnbug_spyder版本为2.35.5

图片1.png

然后我们生成一个公钥,在Ubuntu SSO上注册一个账户,将公钥配置到账户中,通过利用访问控制检查来使用本地snapd服务的受限API函数(POST / v2 / create-user)。这将在Ubuntu SSO中查询提供的电子邮件地址的用户名和公共SSH密钥,然后根据这些值创建本地用户,我们直接使用公开的利用脚本进行测试,发现攻击成功后会自动跳转到名字和远程sso注册一样的账号的shell,但是权限很低。

图片2.png

但是我们直接使用Sudo -i的时候发现不需要输入验证密码就可以变成root权限

影响版本

安全问题会影响这些Ubuntu及其衍生产品的发布:

· Ubuntu 18.10

· Ubuntu 18.04 LTS

· Ubuntu 16.04 LTS

· Ubuntu 14.04 LTS

修复建议

Canonical官方已经针对该漏洞发布了修复CVE-2019-7304的安全补丁:

· Ubuntu 18.10:https://launchpad.net/ubuntu/+source/snapd/2.35.5+18.10.1

· Ubuntu 18.04 LTS:https://launchpad.net/ubuntu/+source/snapd/2.34.2+18.04.1

· Ubuntu 16.04 LTS:https://launchpad.net/ubuntu/+source/snapd/2.34.2ubuntu0.1

· Ubuntu 14.04 LTS:https://launchpad.net/ubuntu/+source/snapd/2.34.2~14.04.1

时间轴

· 2019-01月 研究人员通过在Ubuntu Linux的默认安装中发现了一个权限提升漏洞

· 2019-02-13  研究人员通过博客披露漏洞的详情

· 2019-02-13 深信服千里目安全实验室复现漏洞并发布漏洞预警

参考链接

https://initblog.com/2019/dirty-sock/

几乎每个人都有过这样的经历:手机电脑上网时却莫名其妙弹出满屏的广告,并跳转到其他网页。。。

那么,背后的真相究竟是什么,黑客如何进行网页篡改,网站又该如何防范。本文将分析国内网站内容篡改现状,知己知彼,方能百战不怠。

网站篡改攻击定义和动机

1、地下经济

黑帽SEO

黑客攻击的主要动机之一便是谋求经济利益,SEO是搜索引擎优化(Search Engine Optimization)的缩写,由于搜索引擎占互联网入口流量的60%以上[1],对搜索排名的优化直接影响到网站的市场营销效果。为提升搜索排名,与通过内容创造以优化网站内容质量的白帽SEO方案相比,非法的黑帽SEO往往非常快速而且有效。所以在网络地下黑产的世界,黑帽SEO是流量快速变现的重要手段。

网络博彩、网络色情等地下经济背后是巨大的利润,因此此类非法服务运营者经常和黑帽SEO运营者合作,通过购买黑客攻陷的合法站点控制权,批量篡改被控网站的页面,实现博彩站点推广。

以下几个截图展示黑帽SEO的典型效果,可以看到,通过嵌入各类博彩长尾词[2]及博彩网站链接,篡改合法网站页面,从而让合法站点成为非法博彩站点的引流工具。

图片1.png 

利用篡改合法gov.cn网站实现黑帽SEO

图片2.png 

向合法网站标题和内容嵌入博彩链接及关

恶意代码嵌入

向篡改的站点嵌入恶意代码,如远控程序或病毒,并通过欺骗性的文本引诱网页浏览者下载安装,进一步通过中招的主机拓展僵尸网络或实施信息窃取从而变现也是部分黑客攻击的重要手段之一。参考文献[5]介绍了一种通过向被篡改网站嵌入虚假浏览器更新的方式实现攻击浏览者计算机,拓展僵尸网络的手法。

图片3.png 

通过虚假的浏览器更新提示欺骗浏览者下载恶意脚本[5]

资源滥用(挖矿劫持)

Coinhive提供浏览器挖矿服务接入API后,通过篡改网站,向被篡改站点网页嵌入浏览器挖矿脚本,从而控制网站浏览者计算机资源为攻击者挖矿,也成为一种有效的地下经济变现方式。参考文献[6]详细介绍了该种攻击方式的技术细节。

图片4.png 

挖矿劫持浏览器计算资源进行挖矿[7]

2、纯炫耀目的黑客行为主义

在网络空间,hacktivism(或hactivism)被称为黑客行为主义,特指通过使用技术手段,意图达成政治或社会影响的一种行为,也被称为“网络恐怖主义”[3]。

 图片5.png

国外非法组织对我国站点的恶意篡改

网站内容篡改趋势

(注:以下分析主要关注SEO类型和涉及政治的炫耀式篡改,暂不涉及恶意代码注入及资源滥用型篡改。)

1 、SEO篡改

近期SEO篡改类别

在最近半年的监测过程中,我们发现博彩、色情、游戏类篡改是黑帽SEO的主流类型。相比过去,医疗、代孕广告类数量减少,可能和监管机关对非正规医疗机构推广限制有关。

图片6.png 

深信服篡改监控引擎发现的篡改类型占比情况

近期SEO来源统计

对近期收集分属于2563个domain的22939个SEO篡改页面的搜索引擎来源进行统计:

图片7.png 

基于上述数据,可通过下图直观了解SEO篡改来源于国内不同搜索引擎的占比,以及各个搜索引擎的风险提示占比。其中SEO篡改来源占比越高意味着被利用进行SEO的推广明显较多,而风险提示占比则体现各搜索引擎对SEO篡改的监控力度。建议SEO篡改来源占比较高的搜索引擎增加黑产打击力度,以此降低用户发生经济损失的风险。

图片8.png 

SEO来源及搜索风险提示占比

新SEO方式出现

近期深信服发现一种重要的网站黑帽SEO趋势:注册已经被政府机关抛弃但曾用过的域名用来搭建博彩等暴利网站,大量政府机关含有旧域名链接的网页就成了非法站点的天然外链,可以有效提升其PR值。

1、中央办公厅发布文件要求政府使用.gov.cn域名前,大量省、地市政府公务机关站自行申请域名,往往以.com 等注册。

2、.com政府网站存续期间,不同机关互相以.com站点引用。

3、中央发布文件,要求政府站点规范注册域名后缀。各政府站点相继抛弃.com站点,因为转换时间有先后,导致现存政府站点的旧页面往往依然留存有前述政府站点旧.com域名。

4、黑帽SEO黑客收购或重新注册拥有了已经被抛弃的政府站点的.com 旧域名,搭建博彩类站点,利用此域名仍然存在于其他政府站点旧页面上存在的外链,获得高PR值天然优势。

图片9.png 

一个曾经的公益站点在域名过期后成为黑帽SEO工具

从上图可以看到,曾经的公益站点 由于域名过期,现在竟然也成了博彩类站点,曾经指向该站点的合法页面,也成了天然的SEO页面。

SEO反映的近期博彩热度情况

从近期出现的博彩黑词的频率看,主要集中在北京赛车、时时彩、分分彩等比较流行的非法在线赌博游戏类型,建议公安机关对频次最高的在线赌博加强打击力度。详细博彩游戏频次分布如下:

图片10.png 

2、某政治黑客团体篡改攻击事件和趋势

近年来,随着我国国际影响力不断扩大,海外反华及敌对分子不断对我国境内站点进行滋扰,如以南海诸岛及国内社会事件为主题的对我国境内站点的篡改攻击。

以某具有政治目的的黑客团体为例,从2012年5月至今,该组织共篡改我国境内站点约800个,以下统计各省受其攻击次数趋势(从2012年底至2018年底):

图片11.png 

站点名称含有地级市名的被篡改站点数量的所属区域统计

从历史看,浙江、北京、广东、江苏、上海、山东等IT发展大省的站点被篡改比例较高。

图片12.png 

某涉政黑客组织对我国境内站点篡改数量趋势

从篡改数量变化趋势(上图)看,上海、山东、辽宁、云南、湖南等省在2018年被上述涉政黑客组织攻击的占比在逐渐增高。

从行业看,排名第一位的是各类教育机构,包括中小学、职业教育、高校及科研机构等;排名第二位的是政府及各类政务服务平台及民主党派网站等;其次是各类行业服务、企业、社会服务等站点;统计分布图如下:

图片13.png 

我国被篡改站点的行业分布

2013年中至2016年中,篡改内容基本是各种不文明用语加基于政治、社会的新闻事件的对政府的恶意中伤和诽谤。从2017年2月,其篡改文本风格开始发生较大变化,趋于幼稚化,但对被篡改站点的声誉依然带来十分不利影响。

网站篡改攻击手法

利用网站漏洞实现对网站主机控制并篡改网站页面是主要的攻击手法,基于2016年一针对全球被篡改网站的统计分析[4]表明,文件包含、SQL注入以及对已公开漏洞的利用攻击是网站篡改的主要原因。

图片14.png 

被篡改网站的篡改原原因统计[4]

网站篡改防御建议

基于对网站黑客在他们攻击的站点上的签名与ExploitDB漏洞提交者账号间的对比分析,文献[4]展示了对被篡改网站漏洞类型的统计,可见Web应用漏洞是网站被篡改的主要原因。

图片15.png 

网站篡改原因统计

在此,对广大网站维护者的防篡改建议如下:

(1)确保网站使用了必要的安全策略:如强密码、正确的管理员权限分配、及访问安全策略配置;

(2)使用应用层防火墙以便过滤、监控、并阻止有害的流量,Web应用层安全必不可少;

(3)务必在开放访问的所有Web应用开发阶段使用必要的安全编码规则;

(4)经常使用安全监测机制验证网站的安全性;并对Web应用进行包括SQL注入漏洞、XSS漏洞等常见漏洞检测;

(5)确保自己的Web应用、中间件、操作系统等始终处于必要的补丁更新状态,避免黑客利用已知漏洞攻击自己的站点。

参考文献

[1] searchenginewatch.com, Organic Search Accounts for Up to 64% of Website Traffic[STUDY],https://searchenginewatch.com/sew/study/2355020/organic-search-accounts-for-up-to-64-of-website-traffic-study, 2014

[2] Jayson DeMers, How to Identify Long-Tail Keywords for Your SEO Campaign,

https://www.advancedwebranking.com/blog/how-to-identify-long-tail-keywords-for-your-seo-campaign/ , 2013

[3] https://en.wikipedia.org/wiki/Hacktivism

[4] Marco Balduzzi, Ryan Flores, A deep dive into defacement,

https://documents.trendmicro.com/assets/white_papers/wp-a-deep-dive-into-defacement.pdf, 2017

[5]  Jérôme Segura , ‘FakeUpdates’ campaign leverages multiple website platforms, https://blog.malwarebytes.com/threat-analysis/2018/04/fakeupdates-campaign-leverages-multiple-website-platforms/, 2018

[6] Sangfor_blueteam,攻防演练:coinhive网页挖矿详解,

https://mp.weixin.qq.com/s/590ipsiQoygSue6fJeeepA , 2018

[7] 陆雨柔, 挖矿 | 劫持普通用户 CPU 进行挖矿?YouTube 用户被迫成为“矿工”,https://36kr.com/p/5116516.html, 2018

近日,深信服EDR安全团队跟踪到多个客户感染了FilesLocker勒索病毒,其中最新版本的已更新到了FilesLocker2.1,这是一个专门为了庆祝圣诞节而设计命名的版本,中招客户除了系统被加密破坏之外,还有来自勒索作者的节日问候。

FilesLocker是一款代理型勒索软件,勒索病毒制造者只负责制作勒索病毒本身,传播方式通过招中间代理的方式来实现,故传播方式多种多样。其中,最新版本的FilesLocker2.1版本最后会在桌面生成中英文的勒索信息提示文件,并弹出勒索窗口。并且还会从https://i.loli.net/2018/12/31/5c29eac523516.bmp 下载一张图片设置为桌面壁纸,画面颇为欢乐喜庆。

1_副本.png

FilesLocker 2.1版本的勒索界面(圣诞版)

根据可靠消息,该加密作者释放的RSA私钥在加密完之后会在浏览器弹出(适用于FilesLocker1.0和FilesLocker2.0中招客户,FilesLocker2.1圣诞特别版暂时没有释放密钥,也就是说圣诞版暂时无法解密,提醒广大用户小心)。

2.png

该工具已将该RSA私钥集成进入工具,然后用该私钥将用户被加密的AES密钥解密出来。

3.png

4.png

解密文件

5.png

该工具提供的所有函数

6.png

一、背景介绍

2018年10月,有人在暗网发布FilesLocker勒索病毒合作计划。事后有国内多家安全厂商跟进报道,随即此贴访问量暴涨十倍,并且作者之后在帖子上更新了报道链接。

7.png

2018年底最后一天,作者放出了1.0和2.0版本的私钥,目前国外也有安全人员根据私钥开发出了解密工具。但这并不是作者偃旗息鼓了,最新的2.1版本已经到来,且更换了新的RSA秘钥对。

二、样本分析

2.1版本

由于作者已经将之前的私钥放出,在2.1版本中,便更新了公钥,如图所示。

8.png

图 3

随机生成加密文件的AES密钥,使用RSA加密,最后再把密文用base64编码

9.png

图 4 加密AES秘钥,并用base64编码密文

样本只加密系统盘中指定文件夹和非系统盘中指定文件名后缀名的文件。

10.png

图 5  系统盘指定文件夹

11.png

图 6 加密除了系统盘之外的其他磁盘

12.png

 图 7 指定加密的文件后缀名,共367种

加密文件使用了AES算法,ECB模式

13.png

图 8 加密文件代码

加密完成后会在文件名后面添加后缀.[[email protected]]。

14.png

图 9 添加文件名后缀

整个加密阶段完成以后,会调用vssadmin.exe删除掉系统卷影副本

15.png

图 10 删除卷影副本

2.0版本

2018年11月底,FilesLocker升级到了2.0版本,主体功能没有变化。加密的文件后缀比1.0版本增加了10个。加密以后会从指定链接下载图片并设置为桌面壁纸。

17.png

图 11

并对勒索弹窗也做了些改变。

18.png

图 12

1.0版本

2018年10月,作者在暗网发布了合作计划,样本开始出现。1.0版本病毒名字伪装成Windows Update,用以迷惑用户。

19.png

图 13 原始文件名字

1.0版本加密的文件后缀有357种

20.png

图 14 指定加密的文件后缀名,共357种

1.0会在桌面生成中英文的勒索信息提示文件,并弹出勒索窗口。

21.png

图 15 1.0版本的勒索界面

三、解决方案

针对FilesLocker1.0和2.0的勒索解密工具(FilesLocker2.1圣诞特别版暂时没有解密工具):

http://edr.sangfor.com.cn/tool/FilesLockerDecrypter.zip

(1)选择被加密的文件夹

111.png

(2)选择自己的ID文件(桌面上生成的加密信,中英文的都可以)

222.png

(3)点击Decrypt开始解密

333.png

病毒防御:

1.及时给电脑打补丁,修复漏洞。

2.陌生人发来的陌生文档,邮件不要轻易打开。

3.对重要的数据文件定期进行非本地备份。

4.建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

一、样本简介

深信服EDR安全团队,最近捕获到一款新型勒索病毒家族样本Vendetta。Vendetta是一款使用.NET框架开发的勒索病毒样本,会加密主机系统中大部分文件后缀名的文件,加密后缀为.vendetta,同时其具有Telegram通信功能,通过Telegram发送相应的主机进程信息以及加密信息,最后进行自删除。勒索信息内容如下所示:

1545903250(1).png

二、详细分析

1.样本使用.NET框架开发,无加壳,如下所示:

1.png

2.判断程序是否已经运行,如果已经运行,则退出,如下所示:

2.png

3.生成日志文件log.html,如下所示:

3.png

4.判断系统所在区域,如果为以下国家区域,则退出,如下所示:

4.png

相应的国家区域列表,如下所示:

Russian、Russian (Belarus)、Russian (Kyrgyzstan)、Russian (Kazakhstan)、
Russian (Moldova)、Russian (Russia)、Russian (Ukraine)、Bashkir (Russia)、
Chechen (Russia)、Church Slavic (Russia)、Ossetic (Russia)、Sakha (Russia)、
Tatar (Russia)、Ukrainian、Ukrainian (Ukraine)、Azerbaijani、Azerbaijani (Cyrillic)、Azerbaijani (Cyrillic, Azerbaijan)、Azerbaijani (Latin)
Azerbaijani (Latin, Azerbaijan)、Armenian、Armenian (Armenia)、
Belarusian、Belarusian (Belarus)、Kazakh (Kazakhstan)、Kyrgyz、
Kyrgyz (Kyrgyzstan)、Kazakh、Romanian (Moldova)、Tajik、
Tajik (Cyrillic)、Tajik (Cyrillic, Tajikistan)、Uzbek、
Uzbek (Perso-Arabic)、Uzbek (Perso-Arabic, Afghanistan)、Uzbek (Cyrillic)、
Uzbek (Cyrillic, Uzbekistan)、Uzbek (Latin)、Uzbek (Latin, Uzbekistan)、
Turkmen、Turkmen (Turkmenistan)

5.枚举进程信息,然后生成进程信息文件processes.csv,并写入进程信息,如下所示:

5.png

6.枚举进程,结束掉相应的进程列表中的进程,如下所示:

6.png

相应的进程列表,如下所示:

notepad、devenv、msbuild、taskmgr、spoolsv、skypebackgroundhost、skypeapp、
searchui、samsungrapidsvc、redis-server、postgres、perfwatson2、open server x64、
open server x32、open server x86、open server、nginx、named、mysqld、mongod、
memcached、jenkins、java、httpd、googleupdate、ftp、chrome、calculator、
firefox、winword、microsoftedge、microsoftedgecp、cmsserver、zf、dsq、
sqlsrvr、qqeimguard、企业QQ、qqeimplatform、tv_x64、teamviewer 13、wpscloudsvr、
WPS服务程序、提供账号登录、云存储等服务、teamviewer_service、igfxtray、igfxhk、
igfxem、igfxcuiservice、tv_w32、ss_privoxy、privoxy、userclient、qqprotect、
mqsvc、gnaupdaemon、mysqld-nt

7.随机生成password,如下所示:

7.png

使用RSA的公钥加密相应的password,并生password文件,如下所示:

8.png

RSA的公钥从公钥配置文件public.xml中读取,如下所示:

9.png

8.获取要加密的文件后缀名列表,一共三千多个,如下所示:

10.png

9.创建文件加密线程,如下所示:

11.png

遍历磁盘文件,如下所示:

12.png

如果文件存放在以下目录,则不进行加密,如下所示:

13.png

相应的目录列表,如下所示:

· %ApplicationData%

· %AllUsersProfile%

· %ProgramData%

· %ProgramFiles%

· C:\Intel

· C:\Nvidia

· C:\intel

· C:\nvidia

· C:\Users\All Users

· C:\Users\All users

· C:\Users\all users

· C:\Users\Public

· C:\Users\public

· C:\Users\acdgq\Desktop

· C:\Windows

· C:\Program Files

· C:\Program Files\Common Files

· C:\Program Files\Common Files\Microsoft\Exchange Server

· C:\Program Files\Common Files\Microsoft SQL Server

· C:\Program Files\Microsoft\Exchange Server

· C:\Program Files (x86)\Microsoft\Exchange Server

· C:\Program Files\Microsoft SQL Server

· C:\Program Files (x86)\Microsoft SQL Server

对遍历到的目录或文件进行相关处理,如下所示:

14.png

并保存相应的加密文件和非加密文件的文件信息encFiles.json、nonEncFiles.json,如下所示:

15.png

加密文件内容,如下所示:

16.png

10.加密文件的过程,如下所示:

17.png

根据文件的大小,执行不同的加密程序,相应的加密程序如下所示:

18.png

加密后的文件为[加密后的原文件名]+vendetta,如果生成的加密后的文件名大于等于248,则使用[原文件名]+vendetta2为加密后的文件名,如下所示:

19.png

加密后的文件,如下所示:

20.png

11.获取主机的相关ID,创建Telegram通讯连接,将之前生成的加密密钥以及进程列表信息通过Telegram发送,如下所示:

21.png

12.加密完成之后,通过Telegram发送相应的信息以及生成的配置文件等,如下所示:

22.png

13.生成相应的勒索信息超文本文件How to decrypt files.html,如下所示:

23.png

并设置为自启动项,如下所示:

24.png

14.最后进行自删除操作,如下所示:

25.png

三、解决方案

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件

2.及时给主机打补丁(永恒之蓝漏洞补丁),修复相应的高危漏洞

3.对重要的数据文件定期进行非本地备份

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能

一、 背景介绍

近日,深信服安全团队捕获到一个新型垃圾邮件,其中包含受密码保护的Word文档,团队中的相关人员对其进行了深入的分析,发现是同样类型的Neutrino最新版本僵尸程序。

二、 样本信息

Neutrino属于Kasidet家族,此次病毒通过伪装成“发票到期”的电子邮件并且带有密码保护的附件进行传播,带有密码保护的电子邮件可能会给人一种安全感。在此深信服提醒广大用户:陌生人发来的陌生文档,邮件不要轻易打开。邮件内容如下:

1.png

图1 邮件内容屏幕截图

2.png

图2 需要输入密码才能打开的Word文档

“Invoice.doc”附件中包含一个宏,如果用户的宏安全设置为低,则文档将自动启动宏。此外,宏受密码保护。面对这种情况,大多数用户都不知道这份文件会在后台做些什么。如下:

3.png

图3 启用宏内容

4.png

图4宏受密码保护

查看宏内容显示它将从hxxp//209.141.59.124/1.exe下载文件,然后保存至%Temp%\qwerty2.exe并启动。宏内容如下:

5.png

图5宏内容

qwerty2.exe主要功能如下:

a) DDOS攻击

b) 信息窃取

c) FTP嗅探

d) 反调试、反虚拟机和反沙箱

e) 文件下载

本次分析涉及的文件信息如下:

3.png

三、 样本分析

1. 样本运行后先执行一段混淆代码,然后通过“MapViewOfFile”将文件进行映射。

6.png

7.png

图6 映射后的代码数据

2. 将映射后的数据进行解密,通过跳转到ZwSetInformationProcess函数将DEP关闭,然后在转入解密后的数据并执行。

8.png

图7 解密后的数据

9.png

10.png

图8 跳转到解密后的代码并执行

3. 获取cpuid信息(包括型号,信息处理器)、操作系统版本、地理位置、网卡配置和IP信息。

11.png

图9 获取cpuid

12.png

图10 获取地理位置

13.png

图11动态加载Getadaptersinfo获取网卡配置和IP

4. 为了防止恶意程序被多次运行Neutrino恶意软件创建互斥体:“{FC502D82-2B78-8E2F-95F0-8FA2992433F6}”。

14.png

图12 创建互斥体

5. 修改文件创建时间、设置文件属性、设置注册表Run启动,确保在受感染的机器上持久存活。

15.png

图13 注册表Run启动

6. 动态加载CreateToolhelp32Snapshot、Module32First、M odule32Next函数遍历进程模块与事先设定好的进程模块进行比较,如果遍历到相同进程模块,则终止执行。

16.png

图14 遍历进程

7. 使用IsDebuggerPresent、CheckRemoteDebuggerPresent判断程序是否正被调试。使用GetTickCount、Sleep、GetTickCount进行单步执行时间检测。使用QueryDosDevices检测虚拟机(比如:VMware),判断是否处于虚拟环境中,使用EnumWindows、GetClassName进行窗口检测。 

17.png

图15 判断程序是否被调试

18.png

图16 窗口名检测

8. 如果程序加载成功,便会加载核心程序,使用CryptStringToBinary API函数解密嵌入的C&C URL将获取的信息以 POST的方式发送到securityupdateserver4.com。这些响应包会以注释形式嵌入到空白html页面中,为避免让用户发觉。捕获的流量包如下:

19.png

图17 捕获到的流量包

总结:

僵尸程序最主要的特点就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDOS)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务。僵尸程序一旦构成了一个攻击平台,便可利用这个平台有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。

四、 相关IOC

Md5:E875E978CCDD5A02AEEFB207F83F7E16

Md5:30B43B2437A5CA665279D4A47A18CE7C

IP:209.141.59.124

域名:securityupdateserver4.com

Url:http//209.141.59.124/1.exe

五、 病毒防御

1. 及时给电脑打补丁,修复漏洞。

2. 陌生人发来的陌生文档,邮件不要轻易打开

3. 对重要的数据文件定期进行非本地备份

4. 建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

一、 背景介绍

近日,深信服安全团队在云查记录中捕获到一款高度活跃的病毒,并对其进行了深入分析后确定该病毒为Kasidet家族,此次分析的病毒主要通过窃取系统信息然后连接服务器根据攻击者分发不同的命令执行不同的功能,攻击者可以利用受感染的计算机作为攻击平台实施各种网络攻击,如DDoS攻击、局域网感染、散布蠕虫病毒、窃取机密资料等,其隐秘性、破坏性和威胁程度都远大于单一的网络攻击模式。

二、 样本信息

1.png

该病毒的图标及详细信息,如下:

1.jpg

三、 样本分析

1. 该病毒的核心代码经过加密处理,运行后首先会调用VirtualAlloc申请空间在内存进行PE文件解密,然后再执行到PE文件入口点,如下:

2.png

图1解密后的PE文件

2. 解密后的PE文件分析,调用函数SetUnhandledExceptionFilter设置异常捕获,获取当前进程句柄,提升自身权限为Debug权限,如下:

3.png

图2提升权限

3. 创建互斥体变量“4ZBR19116-NNIF”,为避免程序重复运行,如果存在该变量则退出,如下:

4.png

图3创建互斥体变量

4. 创建文件夹%APPDATA%\4ZBR19116-NNIF\,并将自身重命名为{随机名}.exe复制到该目录下,判断当前用户是否为管理组成员,设置注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,达到开机自启动的目的,复制explorer.exe的创建时间修改为自身文件的创建时间,然后启动进程复制后的文件{随机名}.exe,如下:

5.png

图4复制自身修改文件时间、设置Run启动

5. 创建线程,监视注册表活动状态使应用程序可以接收事件通知指定的注册表项及其子项的更改,如下:

6.png

图5监视注册表

6. 获取系统的安装时间RegId,判断系统的版本号,获取系统安装的杀毒软件信息,扫描获取本地局域网内的IP地址,获取受感染机的安装密钥,动态解密上线地址,发送上线验证数据,等待远控命令。检查%APPDATA%,%TEMP%和%ALLUSERSPROFILE%中的所有可执行文件,代码如下:

7.png

图6获取系统信息、发送上线验证数据

8.png

图7解密后的C&C地址

该病毒对于发送的每一个请求,都会检查其中的验证密钥,建立连接后,发送验证密钥“21232f297a57a5a743894a0e4a801fc3”,等待接收远控指令,如下:

9.png

图8建立连接,发送上线验证数据

7. 调用CreateToolhelp32Snapshot函数遍历系统进程,查找浏览器进程firefox.exe、chrome.exe 、iexplore.exe 、Opera.exe,然后选择对应的浏览器以POST请求的方式发送受感染机的数据,如下:

10.png

图9遍历进程,查找chrome浏览器

11.png

图10 firefox浏览器进行网络通信

12.png

图11 IExplore浏览器进行网络通信

13.png

图12 Opera浏览器进行网络通信

8. 数据以“getcmd=1&uid=%s&os=%s&av=%s&nat=%s&version=%s&serial=%s&quality=%i”字符串的形式进行发送,其中uid表示受感染的计算机guid,os表示操作系统上的数据,av表示已安装的防病毒软件, nat表示本地IP地址信息,version表示安装的版本,quality 是检测到的病毒数量,如下:

14.png

图13 发送字符串的形式

9. 如果连接服务器成功,可接收执行的远控命令,如下:

2.png

接收可执行的远控命令,相关代码如下:

15.png

图14 远控命令部分代码1

16.png

图15 远控命令部分代码2

17.png

图16 远控命令部分代码3

10. 反调试技术分析:

a. 通过IsDebuggerPresent和CheckRemoteDebuggerPresent检查程序是否为调试状态。

b. 通过获取系统用户名及模块用于检查沙箱和虚拟机,受检查的用户名“MALTEST、TEQUILABOOMBOOM、SANDBOX、VIRUS、MALWARE、SAMPLE、VIRUS、SANDBOX”。

c. 通过kernel32.dll检查是否有导出函数”wine_get_unix_file_name”来检测wine软件。

d. 通过注册表来检查VMware虚拟机、VirtualBox虚拟机、QEMU模拟器,相关注册表及值如下:

SOFTWARE\\VMware, Inc.\\VMware Tools
HARDWARE\\DEVICEMAP\\Scsi\\ScsiPort0\\ScsiBus0\\TargetId0\\Logical Unit Id 0 ,值:“Identifier”、“VBOX”。
HARDWARE\\Description\\System,值:“SystemBiosVersion”、“VBOX”
SOFTWARE\\Oracle\\VirtualBox Guest Additions HARDWARE\\Description\\System,值:“VideoBiosVersion”、“VIRTUALBOX”
HARDWARE\\DEVICEMAP\\Scsi\\Scsi Port 0\\Scsi Bus 0\\Target Id 0\\Logical Unit Id 0,值:“Identifier”、“QEMU”
"HARDWARE\\Description\\System,值:“SystemBiosVersion”、“QEMU”

如果其中有一项条件满足,则弹出错误对话框,启动自我删除,退出程序,代码如下:

18.png

图17 反调试、反虚拟机、反沙箱

四、 相关IOC

MD5

原始样本:99F5AD74262E5CD0509D5DCE82262D02

解密后的PE:C6530B4293D79D73D4FF0822A5DB98A8

DNS

nutqss123a10cc.com

nutqss123a2cc.com

nutqss123a3cc.com

nutqss123a4cc.com

nutqss123a5cc.com

nutqss123a6cc.com

nutqss123a9cc.com

nutqss123a1cc.com

nutqss123a11cc.com

nutqss123a12cc.com

nutqss123a13cc.com

URL

http://nutqss123a10cc.com/newfiz5/tasks.php

http://nutqss123a2cc.com/newfiz5/tasks.php

http://nutqss123a3cc.com/newfiz5/tasks.php

http://nutqss123a4cc.com/newfiz5/tasks.php

http://nutqss123a5cc.com/newfiz5/tasks.php

http://nutqss123a6cc.com/newfiz5/tasks.php

http://nutqss123a9cc.com/newfiz5/tasks.php

http://nutqss123a1cc.com/newfiz5/tasks.php

http://nutqss123a11cc.com/newfiz5/tasks.php

http://nutqss123a12cc.com/newfiz5/tasks.php

http://nutqss123a13cc.com/newfiz5/tasks.php

五、 解决方案

病毒防御

1. 及时给电脑打补丁,修复漏洞。

2. 陌生人发来的陌生文档,邮件不要轻易打开

3. 对重要的数据文件定期进行非本地备份