• 疫情期间处理勒索病毒的收获


    前言

    在疫情期间,印度缺德黑客实施的APT攻击传的沸沸扬扬。我反手一个死亡之PING给印度。

    与此同时,团队的小伙伴在月初就开始进行公益性质的勒索病毒协助。

    在处理过程中,尽可能的保护未被污染的文件,已加密的文件解密起来难度相当大。

    大家都明白新变种的病毒,很少有现成解密方式。

    下文以某中招5ss5c勒索事件处理为例

    公开勒索解密常用方法

    https://github.com/jiansiting/Decryption-Tools

    https://www.nomoreransom.org/

    https://lesuobingdu.360.cn/

    我们遭受的Satan,DBGer和Lucky勒索病毒以及iron勒索病毒的网络犯罪组织提出了一个新版本名为“ 5ss5c”。

    该病毒类似Satan为木马下载器,它下载并利用永恒之蓝和一些poc来进行传播,勒索模块就是cpt.exe,遍历7z,bak,cer,csv,db,dbf,dmp,docx,eps,ldf,mdb,mdf,myd,myi,ora,pdf,pem,pfx,ppt,pptx,psd,rar,rtf,sql,tar, txt,vdi,vmdk,vmx,xls,xlsx,zip后缀名的文件然后加密,加密后添加后缀为.5ss5c,并提示勒索勒索一个比特币(5W多),如果在2天之内没有完成支付,则赎金翻倍。

    技术求助

    Satan勒索病毒变种5ss5c勒索病毒

    1.某安全公司QQ求助

    2.某安全公司论坛求助

    3.某公众号求助

    4.某渠道-解密价格比勒索价格更高(提供了某样本文件并成功解密)

    渗透测试

    回到开始,一个朋友说网站异常,让帮忙看一下。当时未被勒索,简单测试给定资产范围的所有端口,未拿到shell,但是在此同时发现包含泛微OA,尝试了该应用的多个漏洞并没有结果,所以只是给客户做了一个警告。

    部分测试截图如下图

    等到后面应急处置的过程中客户恢复备份服务器,才发现存在泛微OA E-cology远程命令执行漏洞且没有修复,被恶意利用之后,该页面被删除,所以导致一开始没有成功getshell。当然这是后话,暂且不谈。

    查看受害主机

    同事到现场后对入侵的主机进行排查,发现服务器上利用IPC横向移动日志,同时被入侵主机会存在以下内容。

    被加密文件猴后缀变为5ss5c,并留下如何解密我的文件。

    在某日志中截获到初始的勒索病毒文件

    利用certutil下载恶意文件,还留下了certutil的日志记录

    该文件被投放到C:ProgramData poc .exe,并运行以下命令:

    cd /D C:ProgramData&star.exe –OutConfig a –TargetPort 445 –Protocol SMB –Architecture x64 –Function RunDLL –DllPayload C:ProgramDatadown64.dll –TargetIp

    扔到沙箱上的运行截图

    分析发现其释放了4个文件

    mmkt.exe一个用于密码转储/窃取的程序

    c.exe建立服务和自启动

    cpt.exe勒索软件

    poc.exe 一个使用Enigma VirtualBox打包一个附加的扩展器模块

    该恶意程序专门做了针对于360的免杀,同时还对自身增加反编译。

    主要加密文件类型如下

    7z,bak,cer,csv,db,dbf,dmp,docx,eps,ldf,mdb,mdf,myd,myi,ora,pdf,pem,pfx,ppt,pptx,psd,rar,rtf,sql,tar, txt,vdi,vmdk,vmx,xls,xlsx,zip

    样本脱壳

    用PEID查询是否有壳。

    手动拖壳:利用ESP定律,原理堆栈平衡原理。

    适用范围:几乎全部的压缩壳,部分加密壳。

    只要是在JMP到OEP后,理论上我们都可以使用。

    ESP理解一般理解可以为:

    1、在命令行下断hr esp-4(此时的ESP就是OD载入后当前显示的值)

    2、hr ESP(关键标志下一行代码所指示的ESP值(单步通过))

    一样用od载入要脱壳的程序,加载后看到关键字:pushad

    单步步过(快捷键F8)一次

    就ESP显示为红色, 鼠标左键选择ESP区域,失去被其它颜色覆盖,判断为被选定状态

    鼠标右键选择:数据窗口中跟随。

    判断是否选择正确:

    看地址区域:是否等于ESP 后面的字符串:地址判断相等,则无错

    这里的第一个字节为00

    鼠标右键选择:断点-硬件访问-Byte

    点击:调试 选择硬件断点

    这里多次尝试后找到push,删除断点

    在选择PUSH 行的情况下,右键选择用OllyDump脱壳调试进程

    ida即可查看代码。

    IOC

    Name: down.txt

    URL:http://58.221.158[.]90:88/car/down.txt

    Purpose: Downloader

    MD5: 680d9c8bb70e38d3727753430c655699

    SHA1: 5e72192360bbe436a3f4048717320409fb1a8009

    SHA256: ddfd1d60ffea333a1565b0707a7adca601dafdd7ec29c61d622732117416545f

    Compilation timestamp: 2020-01-11 19:04:24

    VirusTotal report:

    ddfd1d60ffea333a1565b0707a7adca601dafdd7ec29c61d622732117416545f

    Name: c.dat

    URL:http://58.221.158[.]90:88/car/c.dat

    Purpose: spreader

    MD5: 01a9b1f9a9db526a54a64e39a605dd30

    SHA1: a436e3f5a9ee5e88671823b43fa77ed871c1475b

    SHA256: 9a1365c42f4aca3e9c1c5dcf38b967b73ab56e4af0b4a4380af7e2bf185478bc

    Compilation timestamp: 2020-01-11 19:19:54

    VirusTotal report:

    9a1365c42f4aca3e9c1c5dcf38b967b73ab56e4af0b4a4380af7e2bf185478bc

    Name: cpt.dat

    URL:http://58.221.158[.]90:88/car/cpt.dat

    Purpose: ransomware

    MD5: 853358339279b590fb1c40c3dc0cdb72

    SHA1: 84825801eac21a8d6eb060ddd8a0cd902dcead25

    SHA256: ca154fa6ff0d1ebc786b4ea89cefae022e05497d095c2391331f24113aa31e3c

    Compilation timestamp: 2020-01-11 19:54:25

    VirusTotal report:

    ca154fa6ff0d1ebc786b4ea89cefae022e05497d095c2391331f24113aa31e3c

    类型特征
    文件 C: Program Files Common Files System Scanlog
    文件 C: Program Files Common Files System cpt.exe
    文件 C: Program Files Common Files System tmp
    文件 C: ProgramData 5ss5c_token
    文件 C: ProgramData blue.exe
    文件 C: ProgramData blue.fb
    文件 C: ProgramData blue.xml
    文件 C: ProgramData down64.dll
    文件 C: ProgramData mmkt.exe
    文件 C: ProgramData poc.exe
    文件 C: ProgramData star.exe
    文件 C: ProgramData star.fb
    文件 C: ProgramData star.xml
    注册表项 SOFTWARE Microsoft Windows CurrentVersion Run 5ss5cStart
    命令 C: Windows system32 cmd.exe / c cd /DC:ProgramData&blue.exe –TargetIp
    命令 star.exe –OutConfig a –TargetPort 445 –协议SMB –架构x64 –功能RunDLL –DllPayload C: ProgramData down64.dll –TargetIp
    关联对象 SSSS_Scan
    关联对象 5ss5c_CRYPT
    电子邮件 5ss5c@mail.ru
    网址 http://58.221.158.90:88/car/down.txt
    网址 http://58.221.158.90:88/car/c.dat
    网址 http://58.221.158.90:88/car/cpt.dat
    恶意IP 58.221.158.90
    恶意IP 61.186.243.2
    Hash 82ed3f4eb05b76691b408512767198274e6e308e8d5230ada90611ca18af046d
    hash dc3103fb21f674386b01e1122bb910a09f2226b1331dd549cbc346d8e70d02df
    hash 9a1365c42f4aca3e9c1c5dcf38b967b73ab56e4af0b4a4380af7e2bf185478bc
    hash af041f6ac90b07927696bc61e08a31a210e265a997a62cf732f7d3f5c102f1da
    hash ca154fa6ff0d1ebc786b4ea89cefae022e05497d095c2391331f24113aa31e3c
    hash e685aafc201f851a47bc926dd39fb12f4bc920f310200869ce0716c41ad92198
    hash e5bb194413170d111685da51***d2fd60483fc7bebc70b1c6cb909ef6c6dd4a9
    hash ddfd1d60ffea333a1565b0707a7adca601dafdd7ec29c61d622732117416545f
    hash ef90dcc647e50c2378122f92fba4261f6eaa24b029cfa444289198fb0203e067
    hash 47fa9c298b904d66a5eb92c67dee602198259d366ef4f078a8365beefb9fdc95
    hash 68e644aac112fe3bbf4e87858f58c75426fd5fda93f194482af1721bc47f1cd7
    hash ea7caa08e115dbb438e29da46b47f54c62c29697617bae44464a9b63d9bddf18
    hash 23205bf9c36bbd56189e3f430c25db2a27eb089906b173601cd42c66a25829a7
    hash a46481cdb4a9fc1dbdcccc49c3deadbf18c7b9f274a0eb5fdf73766a03f19a7f
    hash cf33a92a05ba3c807447a5f6b7e45577ed53174699241da360876d4f4a2eb2de
    hash 8e348105cde49cad8bfbe0acca0da67990289e108799c88805023888ead74300
    hash ad3c0b153d5b5ba4627daa89cd2adbb18ee5831cb67feeb7394c51ebc1660f41
    hash de3c5fc97aecb93890b5432b389e047f460b271963fe965a3f26cb1b978f0eac
    hash bd291522025110f58a4493fad0395baec913bd46b1d3fa98f1f309ce3d02f179
    hash 75d543aaf9583b78de645f13e0efd8f826ff7bcf17ea680ca97a3cf9d552fc1f
    hash 50e771386ae200b46a26947665fc72a2a330add348a3c75529f6883df48c2e39
    hash 0aa4b54e9671cb83433550f1d7950d3453ba8b52d8546c9f3faf115fa9baad7e
    hash 5d12b1fc6627b0a0df0680d6556e782b8ae9270135457a81fe4edbbccc0f3552

    参考:

    https://www.freebuf.com/articles/network/178171.html

    https://securityaffairs.co/wordpress/96452/malware/5ss5c-ransomware.html

  • 相关阅读:
    镜像---移除
    镜像--保存于载入
    镜像、docker、容器三者关系
    容器管理
    HBase数据读写流程(1.3.1)
    HBase表的memstore与集群memstore
    HBase预分区方法
    HBase中的TTL与MinVersion的关系
    关于HBase的memstoreFlushSize。
    hbase java api样例(版本1.3.1,新API)
  • 原文地址:https://www.cnblogs.com/0daybug/p/12310750.html
Copyright © 2020-2023  润新知