早在今年上半年,破壞力極強的修改MBR并加密MFT (Master File Table)的勒索木馬Petya就引起了殺毒廠商的高度關注,然而在今年下半年360白名單分析組又捕獲了該作者最新的勒索木馬“GoldenEye”�����。 半年以來該木馬作者與殺毒軟件的對抗持續升級,新的勒索木馬的查殺難度顯著增強��。
一���、主要流程
圖1 GoldenEye木馬流程圖
二�、Shellcode部分
GoldenEye為了偽裝自己,在微軟的開源代碼ZoomIt中嵌入了惡意的ShellCode�。
圖2 GoldenEye中微軟開源的ZoomIt相關字符串
ShellCode經過多層SMC解密出GoldenEye主體,并PE Loader執行�����。
圖3 ShellCode解密出GoldenEye的代碼
接著解密Loader的xxxx區段,里面包含Petya以及提權DLL(elevate_x86.dll/elevate_x64.dll),并動態載入API���。
圖4 解密Loader的xxxx區段
三�����、偽裝功能
如果主程序不處于%AppData%目錄下,則執行偽裝功能,否則執行加密功能����。
圖5 判斷程序路徑執行不同功能
通過將自己偽裝成系統文件來迷惑用戶�����。
圖6 將自身復制到%appdata%UUIDrsvp.exe中
其中rsvp.exe是由FindFirstFileA匹配以下模式來獲得的任一系統文件名:
system32w*w.exe����、 l*x.exe�、m*p.exe����、l*h.exe���、a*r.exe���、g*d.exe��、f*i.exe���、a*v.exe�、o*i.exe�、y*n.exe�����、l*h.exe�、h*q.exe���、p*b.exe�����、m*d.exe
圖7 FindFirstFileA查找匹配的任一系統文件
UuidCreate創建隨機Uuid,如圖6中的{0a993d81-16ef-454e-84a0-4cf182e67159}��。
圖8 UuidCreate創建隨機UUID
調用UpdateResourse將正常系統文件版本資源數據替換給GoldenEye,設置GoldenEye文件時間和kernel32.dll一致�����。
圖9 GoldenEye獲取正常系統文件版本資源更新到拷貝的文件
創建進程執行偽裝后的GoldenEye�。
圖10 調用偽裝后的GoldenEye
四���、選擇Payload
首先解密出暗網的網址以及用戶標識KEY,暗網網址+用戶標識Hash的前8位就是用戶支付贖金的網址�。
圖11 GoldenEye暗網網址的相關生成算法
然后通過VerifyVersionInfoW(系統版本)以及GetTokenInformation(管理員權限)來決定執行流程,如果擁有管理員權限則執行Petya,否則執行Mischa��。
通過硬盤物理序列會生成兩個hash字符串,作為互斥量的名稱��。
互斥量的作用是為了防止同一加密流程被重復執行�����。
圖12 判斷執行流程
五����、Petya模塊
圖13 Petya執行流程
Petya通過向MBR寫入數據并調用NtRaiseHardError強制重啟來觸發加密流程��。
圖14 Petya部分寫入MBR以及強制重啟的關鍵代碼
petya感染之后惡意數據在系統磁盤的分布如下:
圖15 Petya感染后扇區布局
其中0×20扇區寫入的是配置文件,里面包含Salsa20的相關密鑰���。
圖16 Petya配置信息
其中Salsa20的加密Key會在加密后抹去,IV向量保持不變�。
圖17 清除Salsa20的加密Key
0×22保存著是加密過的原始MBR,Petya會通過其定位MFT表,然后進行加密,每次加密2個扇區,并且每加密0×40個扇區時會更新進度條��。
圖18 加密MFT關鍵代碼
老版本的Petya使用了簡化的Salsa20算法來加密MFT(主文件表),存在暴力破解密鑰的漏洞,所以新版本的Petya修復暴力破解的漏洞,并提升了Salsa20的算法強度,密碼的長度驗證擴充為32字節�。
圖19 密碼的長度驗證
Salsa20用輸入的key對0×21扇區進行解密后,如果解密后的數據都為0×7則表示驗證通過���。
圖20 對0×21扇區數據進行驗證
Petya只會針對分區格式為MBR且文件系統為NTFS的MFT(主文件表)進行加密,否則只修改MBR,顯示黃色骷髏頭,這就意味著我們可以通過直接修復MBR來恢復系統���。因為Petya只對MFT表進行加密,并不加密文件內容,所以我們也可以直接通過相關的分區工具直接對文件進行恢復����。
圖21 判斷磁盤分區格式
圖22 判斷文件系統格式
六�、Mischa模塊
圖23 Mischa模塊基本流程圖
從代碼中我們可以看出Mischa能夠加密硬盤以及可移動磁盤�。
圖24遍歷硬盤和可移動磁盤
加密以下固定后綴的文件:
圖25 加密文件的后綴
MisCha會對文件大小進行判斷,如果文件大于32MB,只加密5MB大小的數據���。
圖26 判斷文件大小
Mischa的文件名由原始文件名和用戶標識Key的前8位組成:
圖27 修改文件名
Mischa使用AES256算法對文件內容進行加密,每次加密0×400字節��。對于每一個需要加密的文件來說,AES256的KEY是固定不變的,唯一不同的是隨機生成的IV向量�����。
圖28 加密文件內容
對文件加密完成后,會在文件末尾寫入長度為0×76字節的解密相關的配置信息����。
圖29配置信息的內存布局
最后釋放YOUR_FILES_ARE_ENCRYPTED.TXT,提醒用戶文件已被加密����。
值的一提的是,當Mischa加密完成之后, GoldenEye并沒有善罷甘休,重新執行Petya流程,對MFT進行加密��。
在高版本的系統中,讀寫MBR需要管理員權限,所以GoldenEye就會利用xxxx區段解密出的elevate_x86.dll/elevate_x64.dll進行提權,從而順利的執行Petya���。
提權的原理主要是通過查找系統白名單文件,對其進行dll劫持實現的�。
圖30 DLL劫持后的入口點代碼
圖31 重新執行GoldenEye
七��、GoldenEye勒索提示
惡意代碼執行完之后就開始強制重啟電腦,進行勒索提示:
圖32 GoldenEye木馬勒索提示畫面
GoldenEye木馬的贖金為1.3個比特幣,且勒索方式相比Petya顯得溫和的多,不再因錯過截止時間就翻倍贖金����。GoldenEye木馬會對輸入的加密串進行簡單的校驗,如果出現大小寫錯誤或者其他錯誤都會提示,直至輸入正確的數據���。
圖33 提示輸入識別碼
輸入正確的識別碼之后提示用戶勒索贖金的金額����。
圖34 提示比特幣數額
最后提供支付贖金的賬戶�。
圖35 提示比特幣收款賬戶
八�、360殺毒可以完美查殺
GoldenEye主要通過發送“求職垃圾郵件”的形式進行傳播,并引誘受害者點擊其中包含的惡意附件���。首個附件是一個PDF文檔,它將自己偽裝成一封正經的求職信,而后還跟著一個包含了宏惡意軟件的Excel文檔����。提醒廣大網友:重要數據應定期備份���。此外,他人發來的可疑程序或腳本(如exe����、scr�����、js等)不要雙擊運行,這樣就能最大限度的避免中招���。
圖36 2016年12月6日GoldenEye在VT上查殺的情況
* 本文作者:360安全衛士(企業帳號),轉載請注明來自FreeBuf.COM
