能DDoS的勒索木馬FireCrypt進一步分析
近日,FreeBuf上對於一類FireCrypt木馬做了相關的報道:流氓會武功:這款勒索軟體不僅能勒索,還能DDoS。哈勃分析系統拿到了相關樣本,並對其進行了分析。
經分析,該類樣本通過木馬生成器自定義生成,運行該樣本會對特定文件類型進行AES加密,同時伴隨著持續但微弱的DDoS行為(請求特定網站下載文件)。以下是詳細的樣本分析結果。
一.樣本運行效果
該樣本運行後會加密系統所有盤符下的特定文件類型的文件,加密後會在文件名後加上firecrypt後綴,如下圖所示:
圖1.加密後的文件
在加密結束後,樣本會在桌面生成兩個文件分別為xxxx-READ_ME.html和xxxx-filesencrypted.html,xxxx-READ_ME.html是加密後提示給受害用戶的解密提示,xxxx-filesencrypted.html是當前受害者電腦所有被加密文件的路徑位置信息,如下圖所示:
圖2 xxxx-READ_ME.html
圖3 xxxx-filesencrypted.html
該解密提示界面警告受害者AES密鑰的銷毀時間,用戶需要在密鑰銷毀之前向特定比特幣地址支付500美元贖金以獲得AES密鑰和解密程序。木馬會在每台被加密的機器上生成一個唯一的USER ID用於識別受害機器。
此外,在文件加密完成後,該木馬會創建數個後台線程去固定的某個網站上下載文件到%Temp%目錄下,如下圖所示:
圖4 木馬文件下載
二.樣本運行流程:
此木馬是基於.NET環境開發,依賴.NET Framework 4.0及以上。通過reflector工具可以對木馬進行反編譯,從而分析出該木馬大致運行流程如下:
圖5 firecrypt木馬運行流程
三.文件加密分析:
1.樣本首先查找受害電腦的所有盤符:
圖6 查找盤符
然後遞歸遍歷所有系統盤符下的所有文件,查找符合如下後綴名的文件,將這些文件的路徑信息加入%AppData%SysWin32files.txt,加密文件類型如下:
圖7 加密文件類型
2.樣本會產生一個32個字元的隨機字元串,該隨機字元串用於後續AES256密鑰的生成:
其中隨機數產生的演算法如下:
3. AES256加密流程如下,Encrypt_Fun方法中調用的AES256_Encrypt為加密的主要函數:
AES256_Encrypt方法傳入帶加密的數據和用於加密的密碼,此密碼再與一些其它的參數生成真正的密鑰,具體流程如下:
至此,文件完整的加密流程已經完結了。該樣本在加密每個文件的時候都會產生一個32個字元的隨機字元串,然後通過該隨機字元串去生成AES加密密鑰。
這樣每次加密的密鑰都是不同的,但是在整個加密流程前後並未發現木馬通過網路將密鑰發送給遠端的伺服器,一旦用戶的電腦被此類木馬感染後,即使向作者給出的比特幣地址支付贖金,仍然無法獲取需要解密的AES密鑰。
四.木馬的DDoS行為:
當加密行為完成後,樣本將在後台創建多個線程:
在DownloadThread函數中會持續對www[.]pta[.]gov[.]pk/index[.]php發出請求,並將該頁面下載到%temp%目錄並存儲:
當樣本感染的機器足夠多的時候,這種正常的Url請求就會變成DDoS攻擊。
五.結束任務管理器:
除了以上的文件加密和DDoS行為,樣本還會創建一個Timer,每隔500ms將「taskmgr」進程殺掉:
以此防止用戶通過任務管理器發現木馬進程,進而結束該木馬進程。
六.木馬生成器與變種:
此類通過生成器生成的木馬樣本,每次生成的樣本的哈希值都會發生變化,可以通過不停變種繞過一些僅憑哈希值進行判定的防護措施。
不過,此木馬並未採取強烈的混淆手段,大多數情況下仍然可以通過靜態特徵或者動態行為,識別該類生成器產生的木馬。
*本文作者:騰訊電腦管家,轉載請註明來自Freebuf.COM
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※WhatsApp的「後門」是故意為之,還是提升體驗的副產品?
※GoDaddySSL驗證過程出現bug,CA證書頒發自動化值得思考
※添加Metasploit-payload到已有的Android項目中
※眾安保險推出免費電信詐騙保險
※Shadow Brokers決定退隱江湖,並放出方程式免費入侵工具
TAG:FreeBuf |
※Cloudflare CEO:DDoS 攻擊將成為歷史
※Google Project Shield如何抵禦DDoS攻擊?這個案例可以初探端倪
※抗DDoS攻擊 Arbor Networks獨特「金鐘罩」
※數萬台 Android 設備被攻陷,首個Android DDoS惡意程序
※WannaCry勒索的比特幣市場遭遭大規模DDoS攻擊
※阿里云(aliyun) DDOS 高防设置SSL证书
※俄羅斯互聯網提供商巨頭Rostelecom遭遇DDoS攻擊企圖
※Google聯手Jigsaw發布免費的DDoS防禦工具:防止黑客再次破壞選舉
※Radware聯手諾基亞,提供最佳DDoS攻擊檢測和緩解措施
※針對API的「應用程序DDOS」讓Netflix憂心忡忡
※9月27日簡訊:安全廠商Cloudflare宣布了一項可能將DDoS攻擊掃入歷史課本的新政策;等
※觸發WannaCry勒索軟體「自殺開關」的域名 正在遭受DDoS攻擊
※DDoSaaS!國內地下 DDoS 攻擊產業大升級
※利用 SSDP 協議生成 100 Gbps DDoS 流量的真相探秘
※騰訊安全反病毒實驗室:捕獲多起Ramnit殭屍網路家族的DDoS攻擊
※Verisign發布2017年Q1全球DDoS攻擊趨勢報告
※淺談拒絕服務攻擊的原理與防禦(4):新型DDOS攻擊 – Websocket和臨時透鏡
※DDoS攻擊大起底 深扒DDoS不為人知的二三事
※CNN等多家知名網站遭遇Error 503錯誤:或DDoS攻擊造成