DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

Scarab勒索病毒变种来袭

09-17 WEB安全

一、事件背景
最近接到应急响应客户被勒索病毒攻击,深信服EDR安全团队捕获到相应的恶意样本,经分析确认此样本为Scarab勒索病毒变种样本。
Scarab勒索病毒是利用Necurs僵尸网络进行传播,Necurs是世界上最大的僵尸网络之一,曾用于传播多个恶意家族样本,最新变种主要通过RDP爆破+人工植入的方式传播感染主机。
爆破的相关日志,如下:

Scarab勒索病毒变种来袭


二、样本分析
(1)样本通过GetKeyboardType获取当前用户键盘类型,如下:

Scarab勒索病毒变种来袭


(2)进行一连串的字符串解密操作,得到程序的一些加密配置信息等,如下:

Scarab勒索病毒变种来袭


(3)打开注册表项HKEY_CURRENT_USER\Software\ILRTISo,如下:

Scarab勒索病毒变种来袭


查询idle注册表项,是否设置,如下:

Scarab勒索病毒变种来袭


(4)拷贝自身到%APPDATA%\Roaming目录下,并重命名为sevnz.exe,如下:

Scarab勒索病毒变种来袭


通过CreateProcess调用cmd.exe命名执行:
/c copy /y [Virus文件名路径] %APPDATA%\sevnz.exe,如下:

Scarab勒索病毒变种来袭


病毒母体拷贝自身到%APPDATA%目录下sevnz.exe,如下:

Scarab勒索病毒变种来袭


(5)查询%APPDATA%目录下是否存在sevnz.exe程序,如下:

Scarab勒索病毒变种来袭


然后自己传入参数“runas”,并调用ShellExecuteW生成一个新的进程,如下:

Scarab勒索病毒变种来袭


(6)执行%APPDATA%目录下的sevnz.exe程序,如下:

Scarab勒索病毒变种来袭


(7)sevnz.exe通过CreateProcess调用cmd.exe命名执行:
mshta.exe javascript:o=newActiveXObject(‘Scripting.FileSystemObject’);setInterval(function(){try{o.DeleteFile(‘[FileName.exe]’);close()}catch(e){}},10);
删除母体文件,动态调试,如下:

Scarab勒索病毒变种来袭


(8)母体样本通过删除sevnz.exe,来判断之前的sevnz.exe是否启动,如下:

Scarab勒索病毒变种来袭


如果程序已启动,删除会失败,如下:

Scarab勒索病毒变种来袭


(9)当sevnz.exe在运行之中时,调用JavaScript脚本,将此进程添加到注册表的auto-run,相应的脚本命令:
mshta.exe“javascript:o=new ActiveXObject(‘WScript.Shell’);
x=newActiveXObject(‘Scripting.FileSystemObject’);
setInterval(function(){try{i=x.GetFile(‘sevnz.exe’).Path;
o.RegWrite(‘HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\ILRTISo’,i);}
catch(e){}},10);
动态调试跟踪,如下:

Scarab勒索病毒变种来袭


自启动项创建完成之后,如下:

Scarab勒索病毒变种来袭


(10)创建加密线程,执行勒索病毒的主要加密流程,如下:

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com//web/104.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 722652访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X