2019年4月,Cybereason Nocturnus团队遇到了一种名为Sodinokibi(又叫Sodin、REvil)的新式勒索软件。Sobinokibi具有很强的隐蔽性,采纳了多种办法来防止检测。
Sodinokibi的作者疑似与另一勒索软件的作者——GandCrab有关。GandCrab是一款于近退役的勒索软件,因为其暗地团队称自己“已赚到了足够多的钱”。在曩昔的勒索软件事情中,全球有近40%的感染是由GandCrab形成的。假如这种相关是精确的,那么Sodinokibi可能有朝GandCrab为方针开展的潜质。
勒索软件对许多组织组织来说仍然是一个巨大的商业危险,像Sodinokibi和GandCrab这样的高躲避性勒索软件每年都会对它们形成高额的丢失。
在本文中,咱们将对Sodinokibi勒索软件进行深化的技能剖析,关键重视它的传递办法以及为防止AV检测而采纳的防护机制。
关键
· 大多Sodinokibi前期突击事情都发生在亚洲,最近进犯有转移到欧洲的趋势。
· Sodinokibi前期运用的是中小企业服务器或是其它一些基础设施中的缝隙,跟着时刻的推移,咱们还看到了其它的感染前言,比方 *** 垂钓和缝隙运用工具包。
· 查询进程中咱们还发现:Sodinokibi会在受感染的机器中搜索由韩国安全供货商“Ahnlab”制造的AV产品,并注入其payload。
· 在这项研讨中,有依据标明Sodinokibi勒索软件是由GandCrab团队开发的。
介绍
Sodinokibi于本年4月底初次发现,其时是经过运用Oracle WebLogic缝隙(CVE-2019-2725)安装在方针核算机上的,随后才开端经过缝隙运用工具包和垃圾邮件进行传达。
Sodinokibi能阻挠用户对方针机器数据的拜访,使公司组织彻底损失事务才干。到目前为止,它还没有自我传达的才干,但一旦完成,其影响可能会扩展到整个 *** 。
这个歹意软件也显现了勒索软件的复苏痕迹,虽然有陈述阐明,当时勒索软件的进犯事情正在削减,但咱们看到这个局势仍是不容忽视的,并且在本年第二季度,勒索软件均匀赎金的额度现已翻了一番。公司组织都需求强壮的安全产品,在面临此类进犯时才干镇定自若。
要挟剖析
Sodinokibi暗地黑手运用的初始感染前言是带有歹意链接的垂钓邮件。点击后,会下载一个看似合法的zip文件。VirusTotal对该zip文件的检测率十分低,标明大多数安全厂商都没有将其初始payload符号。因为Sodinokibi的初始payload未被检测到,因此能绕过大多组织组织的之一层防护。
图1.VirusTotal上,Sodinokibi对该zip文件检测率
该zip文件里边是一个混杂的JavaScript文件,当用户双击后会被WScript履行。
图2.WScript履行歹意JavaScript
图3.Cybereason解决方案中所示的之一阶段流程
此JavaScript文件经过重新排列内部名为eiculwo的列表中的字符,来消除本身的混杂。
图4.混杂的JavaScript文件的前半部分
坐落JavaScript文件中的变量vhtsxspmssj是一个混杂的PowerShell脚本,进犯者会在稍后的进犯中对其去混杂。
图5.去混杂的JavaScript文件
JavaScript文件对变量vhtsxspmssj进行反混杂处理,并将其保存在名为jurhtcbvj.tmp的目录中。
接着脚本会下载二级payload,不是将其嵌入到初始脚本中。
咱们遇到的数个歹意样本都是经过此脚本来下载二级payload,而不是将其嵌入到初始脚本中。
文件jurhtcbvj.tmp是一个填充了多个感叹号的PowerShell脚本,JavaScript文件经过发动PowerShell指令来删去其间的感叹号并履行此脚本。
图6.混杂的PowerShell脚本jurhtcbvj.tmp
图7.用于替换感叹号并履行PowerShell脚本的指令
接着jurhtcbvj.tmp解码另一个Base64编码的脚本并履行它。解码后的脚本包括一个.NET模块(也运用Base64编码),再将模块解码并加载到PowerShell进程内存中,一旦加载后,将履行Install1函数。
图8.模块test.dll加载到内存中
模块test.dll仅仅此交给进程的众多层之一。函数Install1里还包括了另一个用Base64编码的模块,Install1会解码此模块并将其加载到内存中。
图9.Base64编码模块Install1
[1][2][3]黑客接单网