阅读:
2,799
网络犯罪分子一般使用的较为复杂的方法来安装勒索软件就像Cryptolocker,Locky和teslacrypt等等。但是在某些情况下,安装无需用户点击,是悄无声息的发生,比如Petya Ransomware。 作者:李东宏 李丹 雷远晓 基本概念什么是勒索软件?勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。 用百度百科来解释,勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作,使之不可用,或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低,然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。 什么是MBR?MBR,即主引导记录(Master Boot Record),是对IBM兼容机的硬盘或者可移动设备分区时,在驱动器最前端的一段引导扇区,位于磁盘的0柱面、0磁头、1扇区(每个扇区为512个字节)。  MBR Petya Ransomware样本分析Petya Ransomware样本信息 样本信息 Petya Ransomware样本行为样本将自己的图标伪装成PDF和RAR自解压的可执行文件,攻击者通过邮件将恶意代码发送给攻击目标,利用社会工程学引诱攻击者进行运行。  社工诱导 木马运行后通过内部调用系统硬件异常,导致系统蓝屏重启。 系统重启后会提示用户进行磁盘检查,实际上此时在执行磁盘加密功能。  磁盘加密 执行完毕后主机会看到闪烁的屏幕,由一些ASCII码组成。  中毒 根据提示按任意键后,屏幕上回显示勒索信息,按照信息提示支付比特币才能解决问题。  勒索信息 用diskgenius查看加密后的情况,发现样本并未进行全盘加密,而是加密了系统分区。  加密系统分区 Petya Ransomware执行概要该样本主文件是一个外壳程序,静态无法检测到恶意代码,执行过程中会申请新的内存空间,释放主功能代码,写入到物理磁盘的启动位置,修改MBR,之后强制系统重启。具体流程图如下:  流程图 Petya Ransomware行为分析样本文件的行为  加密0x22个扇区  替换MBR数据  将加解密代码写入磁盘扇区  写入3个与加解密有关的数据到磁盘中 红色部分为32个字节经过加密的KEY,蓝色部分为设备唯一ID号,粉色部分为提示用户在勒索网站需要填入的解密字符串。  执行硬件错误异常 MBR代码  恶意MBR代码 0x7C21处将样本的主功能代码加在到内存0x8000处,然后在0x7C30处跳转到恶意代码进行加解密操作。 加密代码  加密KEY(0x20个)数据在内存中的位置  加密函数  加密函数的部分流程 解密代码  加密用户输入KEY的流程  检测认证缓冲区与解密流程 Petya Ransomware技术分析调试方法此样本利用MBR进行攻击,因此针对MBR的调试不能在用户层进行调试,需要进行深入的调试,可以利用虚拟机进行MBR的调试,这里使用的是IDA VMWARE的解决方案。
启动虚拟机后,IDA通过附加Remote GDB debugger,设置如下进行调试:  调试 检测结果 检测结果  绿盟科技POMA样本检测结果 数据恢复1) 绿盟科技获取PetyaRansomware系统恢复光盘。  U盘启动 3) 记录下程序提示的Key,并重启主机,从原始硬盘启动,在提示界面输入之前记录的Key。  记录提示 4) 输入后系统开始进行解密。  解密 5) 解密完成后提示重新启动系统。  重启提示 6) 重启后可以正常进入系统。  进入系统 Petya Ransomware解决办法针对个人用户1) 安装杀毒软件并更新到最新。 针对企业用户1) 安装终端安全软件,并更新到最新。 如果您需要了解更多内容,可以 |
|
|
来自: HAPPI0naire > 《IT》
