设为首页收藏本站
    城市    201X-XX-XX    星期X    ---     今日温度:-----    风力:-----    风向:-----

登录  | 立即注册

游客您好!登录后享受更多精彩

用百度帐号登录

只需两步,快速登录

手机号码,快捷登录

查看: 125|回复: 4

5ss5c勒索软件样本

[复制链接]
  • TA的每日心情
    闭嘴
    2020-5-13 10:08
  • 4

    主题

    8

    帖子

    661

    积分

    高级会员

    Rank: 4

    积分
    661
    发表于 2020-4-10 16:11:36 | 显示全部楼层 |阅读模式
    1. 概述

    近期,某客户现场发现主机中存在大量被加密为5ss5c后缀的文件,从获取到的样本来看,有证据显示它与开发勒索软件Satan的组织相关,并仍在积极开发中。该恶意软件通过一个下载器从远程服务器下载了勒索模块和传播模块。勒索软件加密大量的用户文件并向用户勒索比特币,同时利用永恒之蓝、mimikatz窃取用户凭据等方式向其他机器进行扩散。

    本文主要关注加密模块cpt.exe的代码逻辑,分析勒索模块的的密钥生成方式,加密算法,远程C&C主机地址等信息,帮助大家进一步了解该勒索软件。

    2.样本分析

    加密模块cpt.exe被释放在C:\Program Files\Common Files\System目录下,获取到的样本加了MPRESS压缩壳,需要先对其进行脱壳处理。

    2.1 非加密一般行为

    cpt.exe样本为了保障自身能够持续运行,会向windows注册表的自启动目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run目录下写入键名为5ss5cStart、键值指向当前运行样本绝对路径的记录。

    在注册表中查看该目录,该键值对已经被写入,样本会在下次开机时再次运行:

    另外,样本会枚举运行中的进程,查询是否存在运行中cpt.exe进程,并且创建名称为5ss5c_CRYPT的互斥锁,防止重复运行。

    2.2 用户token和密钥生成

    在该样本中,加密文件所使用的密钥由三个部分组成,固定字符串+随机字符+用户token。样本列举了80个可显字符(大小写字符、数字、符号),并从中随机出0xC8(即200)个字符,当作密钥的一部分, 样本使用梅森旋转算法作为随机数生成器。梅森旋转算法作为一个经典的随机数生成器,能够在取值范围内均匀的生成随机数,被很多语言和运算库采用,样本直接在代码内实现了这一算法。

    同时,样本还为每一个主机生成一个长达40个字节的随机token作为主机唯一标识,用以在网络流量中标识该主机。token从0-9A-Z中生成,并被写入C:\\ProgramData\\5ss5c_token文件,如果5ss5c_toekn文件已经存在,则直接读取该文件作为token。

    样本还在PE中硬编码了一段16个字节的密码片段:qobt<r#XC6Rm4H&A,该字符串会被填入加密密钥的前16个字节当中,成为加密密钥的一部分。

    最终的文件加密密码由:16个字节的固定字”qobt<r#XC6Rm4H&A”、200个字节的随机字符和40个字节的token拼接而成,密钥共256个字节,被应用于AES 256bit加密算法中加密用户文件。

    2.3 密钥和文件加密算法

    AES属于对称加密算法,加密能力较强,在不知道的密钥的情况下,破解难度较高;另外AES相对于RSA等非对称加密方式,加解密效率很高,适用于对大量文件进行加解密的勒索场景。样本为了保证AES密钥不被泄露,采用RSA加密算法加密并保存AES密钥,样本中自带了加密用的RSA公钥。

    该密钥最终被拼接标准公钥格式,并将AES密钥加密得到加密结果,写入勒索信中并上报远程服务器。

    加密用户文件前,样本会首先将文件名修改为[5ss5c@mail.ru]原始文件名.token.5ss5c的形式。

    随后创建两个文件句柄,分别对文件进行读取和写入,每读取16个字节进行一次AES加密,再将加密后的16字节密文写回文件,如果读取的数据长度不足16个字节,则不加密直接写回。

    最后,样本还会在每个文件后追加AES密钥后240个字节的RSA加密结果。

    2.4 加密主要流程和网络交互流量

    该勒索样本对文件的加密分阶段进行,在不同的阶段,样本会持续与远程主机进行交互,上报受害机器加密阶段和加密相关信息。样本会首先访问ifconfig.me获取本机公网IP。

    在完成密钥生成、持久化等一般操作后,样本会连接远程web服务器60.191.46.122的8082端口。

    从网络流量上来看,上报信息主要包括本机IP、token、加密阶段和被加密的AES密钥等信息:



    值得关注的是,样本中只包含中文格式的勒索信,怀疑此次勒索软件的攻击目标具有针对性,请国内用户注意防护。

    3.防护&处置建议

    由于样本密码采用RSA+AES加密,暂时无法解密。


    [转载自新华三攻防团队]


    5ss5c.zip

    675.56 KB, 下载次数: 1

    回复

    使用道具 举报

  • TA的每日心情
    难过
    2020-5-9 13:54
  • 4

    主题

    36

    帖子

    799

    积分

    高级会员

    Rank: 4

    积分
    799
    发表于 2020-4-10 16:15:42 | 显示全部楼层
    顶顶顶!
    回复

    使用道具 举报

  • TA的每日心情
    闭嘴
    2020-5-13 10:08
  • 4

    主题

    8

    帖子

    661

    积分

    高级会员

    Rank: 4

    积分
    661
     楼主| 发表于 2020-4-10 16:19:57 | 显示全部楼层
    解压密码:iscro110
    回复

    使用道具 举报

  • TA的每日心情
    难过
    2020-4-10 15:53
  • 5

    主题

    13

    帖子

    479

    积分

    中级会员

    Rank: 3Rank: 3

    积分
    479
    发表于 2020-4-10 16:31:20 | 显示全部楼层
    大佬nb:lol:lol:lol
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2020-4-23 15:47
  • 1

    主题

    35

    帖子

    680

    积分

    高级会员

    Rank: 4

    积分
    680
    发表于 2020-4-10 17:28:30 | 显示全部楼层
    牛啊!!
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册 用百度帐号登录

    本版积分规则

    Archiver|手机版|小黑屋|互联网安全民间响应组织论坛

    GMT+8, 2020-7-7 03:20 , Processed in 0.251254 second(s), 47 queries .

    Powered by Discuz! X3.4

    Copyright © 2001-2020, Tencent Cloud.

    快速回复 返回顶部 返回列表