“天堂”竟然伸出恶魔之手?Paradise勒索病毒再度席卷
  

SANGFOR_智安全 2444

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-3-22 10:29 编辑

一、样本简介

    近日,某公司安全团队接到客户反馈,主机被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为Paradise勒索病毒的变种版本,并对此勒索病毒样本进行深入的分析。Paradise(天堂)勒索病毒最早出现在2018年七月份左右,感染多家企业。此次的变种借用了CrySiS家族的勒索信息,代码结构也跟早期版本有了很大的区别。

勒索信息弹窗:

189855c94460b5178d.png


勒索信息文件:

679115c9446115a8c6.png


加密后的文件名:
[原文件名]_[随机字符串]_{immortalsupport@cock.li}.p3rf0rm4


773205c944621be654.png

二、详细分析

1. 勒索病毒母体样本,使用UPX加壳,如下所示:

725755c94462665af0.png


2.获取函数CreateToolhelp32Snapshot、Module32FirstW的地址,如下所示:


177235c94463731aa5.png

3.在内存解密相关数据,修改该内存属性为可读取执行,如下所示:

794145c94464420f88.png


4.在内存中对数据进行再次解密,得到相应的代码,如下所示:


623195c9446502a812.png

5.跳转执行解密出来的代码,如下所示:


807435c94465b7967f.png

6.搜索定位GetProcAddress函数地址,如下所示:

84155c944667b7790.png


7.通过GetProcAddress函数获取LoadLibraryA函数地址,如下所示:


684445c94467480319.png

8.通过上面获取的LoadLibraryA、GetProcAddress函数得到一系列函数的地址,如下所示:
102385c9446821f223.png

相关的函数,如下所示:
VirtualAlloc、VirtualProtect、VirtualFree、GetVersionExA、TerminateProcess、ExitProcess、SetErrorMode


9.获取操作系统版本信息,如下所示:
20435c94468e9fb3c.png



10.通过VirtualAlloc分配相应的内存,再内存中解密核心Payload的PE文件,如下所示:

553675c94469ea7e5f.png


11.后面通过VirtualProtect修改0x00400000内存地址属性,并将解密的Payload代码复制到0x00400000地址处,如下所示:


759275c9446ac02573.png

12.跳转执行到0x00400000内存段中的Payload入口代码处0x00402657,如下所示:

664325c9446b7cc679.png


13.通过GetUserDefaultLangID获取操作系统语言ID,如下所示:
95895c9446bc198e5.png



如果操作系统语言为:
Russian俄国、LANG_KAZAK哈萨克族、LANG_BELARUSIAN白俄罗斯、LANG_TATAR俄罗斯
则执行ping 127.0.0.1命令,并删除自身,如下所示:

553995c9446c72b36e.png


14.读取程序资源ID为1的资源数据,如下所示:


357805c9446d0635b7.png

里面包含相应的RSA密钥以及勒索信息等信息,如下所示:

102765c9446e15d21e.png


15.关闭Windows Defender安全软件,如下所示:


120805c9446e538bc9.png

16.拷贝自身到相应的目录,进行持久化操作,如下所示:

216435c9446efbebe4.png


17.同时生成相应的勒索信息HTA文件,如下所示:

352235c9446fb7ca83.png


18.将自身和勒索信息相关文件拷贝到启动目录下面,文件名为生成随机字符串,如下所示:

972985c94470870f51.png


拷贝之后,生成相应的文件,如下所示:

288165c9447118cf61.png
19.通过ShellExecuteW执行runas启动程序,如下所示:


223245c9447dd55c62.png

20.删除磁盘卷影操作,如下所示:

124425c9447e6a71a1.png


21.遍历进程,结束相应的进程,如下所示:

741725c9447ec62ce6.png


进程列表,如下所示:

285155c9447f29766a.png


22.停止相应的服务,如下所示:

77375c9447f7b1462.png


相应的服务列表,如下所示:
128675c9448068813f.png

602085c944812664b7.png



23.生成相应的加密密钥,如下所示:

133515c944815d93ec.png


24.遍历磁盘目录,然后创建加密线程,加密文件,如下所示:

553515c94481f00ca2.png


25.枚举网络共享文件夹目录,然后创建加密线程,加密文件,如下所示:

805155c944828c3067.png


26.加密线程,遍历磁盘和共享目录,然后加密文件,如下所示:

190135c9448393bf0e.png


如果目录包含为以下目录字符串,则不进行加密,相应的字符串列表,如下所示:
Windows、$Recycle.bin、System Volume Information
Program Files、Program Files (x86)
同时每个加密的目录下,生成Instructions with your files.txt的勒索信息文本文件。

27.加密文件的过程,如下所示:

217405c9448403a6e2.png


28.生成并弹出Instructions with your files.txt勒索信息文本文件,如下所示:

727065c944846df8b7.png


29.弹出生成的HTA勒索信息文件,如下所示:

999345c94484dbf747.png


30.发送请求连接https://iplogger.org/1t8zw7网站,获取收害者IP地址,如下所示:

443465c944854601ef.png


三、解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z


2、某公司EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

413525c94485daa159.png


病毒防御

    某公司安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、某公司防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用某公司安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。


最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

魅力长安 发表于 2019-3-22 10:57
  
恶魔来袭。。快跑
厌児 发表于 2019-3-22 11:02
  
学习了代码虽然复杂 但警惕性我们必须的有
东南汽车 发表于 2019-3-22 11:18
  
怎么说服使用RDP的人
V至尊卍刁民 发表于 2019-3-22 11:25
  
唉,这真难防御啊!
朕偶尔也想任性一把 发表于 2019-3-22 11:34
  


解决方案
尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;
尽量关闭不必要的文件共享;
及时更新系统,更新应用程序;打全系统及应用程序补丁程序;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
不要点击来源不明的邮件以及附件;
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
feeling 发表于 2019-3-23 11:29
  
厉害厉害
新手668 发表于 2019-3-23 12:41
  
某公司厉害
熙瑞 发表于 2019-3-24 20:12
  
做好防护,每天关注
发表新帖
热门标签
全部标签>
GIF动图学习
每日一问
信服课堂视频
技术笔记
项目案例
产品连连看
技术咨询
专家分享
新版本体验
在线直播
功能体验
技术圆桌
答题自测
原创分享
每日一记
安装部署配置
SANGFOR资讯
畅聊IT
上网策略
VPN 对接
SDP百科
排障笔记本
专家问答
安全攻防
日志审计
问题分析处理
标准化排查
设备维护
MVP
网络基础知识
升级
测试报告
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
功能咨询
终端接入
授权
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告

本版版主

468
229
13

发帖

粉丝

关注

本版达人

feeling

本周分享达人

新手29676...

本周提问达人