GandCrab v4.1勒索軟體及SMB漏洞利用傳播猜測分析

在GandCrab 4.0發布僅兩天後，FortiGuard Labs發現了一個使用相同方法分發的新版本（v4.1），使用被攻陷的網站偽裝成破解應用程序的下載站點。

在這個新版本中，GandCrab增加了一個在之前版本中沒有出現過的網路通信策略。此外，我們將分享對目前流傳的有關「SMB漏洞利用擴散」威脅分析的報告。

一、網路通信

圖1 惡意軟體將信息發送到受感染網站列表

這個新版本的GandCrab惡意軟體包含一個非常長的硬編碼列表，列表內容為它所連接的受感染的網站。在一個二進位文件中，這些網站的數量可以達到近千個獨立的主機。

為了生成每個主機的完整URL，使用偽隨機演算法從多組預定義詞中進行選擇。最終的URL採用以下格式（例如www..com/data/tmp/sokakeme.jpg）：

圖2 GandCrab v4.1連接的URL格式

成功連接到URL後，此惡意軟體會發送加密（和base64編碼）的受害者數據，其中包含如下受感染系統和GandCrab信息：

·IP地址

·用戶名

·主機名

·Network DOMAIN

·安裝的殺軟列表

·默認的系統區域設置

·俄語鍵盤布局 (0=Yes/1=No)

·操作系統

·處理器結構

·隨機ID ( )

·網路和本地驅動

·GandCrab 內部信息:

id

sub_id

version

action

但是，我們沒有發現確切的證據表明惡意軟體中包含的硬編碼網站實際上曾被用作GandCrab的伺服器或下載站點。更令人好奇的是，事實上，將受害者信息發送到列表中的所有存活主機實際上是不合邏輯的，因為單個成功的發送已經足夠了。考慮到這些因素，我們認為這個功能要麼是實驗性的，要麼只是轉移分析，列表中包含的URL只是一個不友善的受害者。

二、終止進程確保加密

經分析還發現，為了確保目標文件的完全加密，GandCrab可能會殺死以下進程：

- msftesql.exe

- sqlagent.exe

- sqlbrowser.exe

- sqlwriter.exe

- oracle.exe

- ocssd.exe

- dbsnmp.exe

- synctime.exe

- xfssvccon.exe

- sqlservr.exe

- mydesktopservice.exe

- ocautoupds.exe

- firefoxconfig.exe

- tbirdconfig.exe

- mydesktopqos.exe

- ocomm.exe

- mysqld.exe

- mysqld-nt.exe

- mysqld-opt.exe

- dbeng50.exe

- sqbcoreservice.exe

- excel.exe

- infopath.exe

- msaccess.exe

- mspub.exe

- onenote.exe

- outlook.exe

- powerpnt.exe

- steam.exe

- thebat.exe

- thebat64.exe

- thunderbird.exe

- visio.exe

- winword.exe

- wordpad.exe

殺死這些進程允許加密常式成功的完成其目標而不會發生任何不期望的中斷。此外，這些目標文件類型通常包含對受害者有價值的數據，因此增加了受害者考慮付款以獲取其文件的可能性。

三、GandCrab SMB 漏洞利用傳播

在過去的幾天里，大量的報道一直聲稱這個版本的GandCrab惡意軟體可以通過「SMB漏洞」自我傳播。這個詞已經成為網路安全行業的惡魔，在去年第二季度全球遭到WannaCry和Petya/NotPeta勒索軟體攻擊之後。所以使用這種傳播方法的另一個勒索軟體引起轟動也就不足為奇了。

由於我們沒有看到任何關於索賠的技術報告，我們決定調查並確認此謠言，因為在我們之前的分析中未觀察到此功能。然而，這無濟於事。

據報道，一個名為「network f**ke」的模塊應該負責執行上述漏洞利用。通過惡意軟體二進位文件中的調試字元串顯然可以看出這一點：

圖3 GandCrab v4.0二進位文件中的調試字元串

但是，儘管有這個字元串，我們找不到任何類似於報道的漏洞利用功能的實際函數。（這個字元串實際上是第一次在v4.0中找到而不是在v4.1中，至少在我們分析過的樣本中是這樣的。）因為這個字元串沒有連接到任何實際的漏洞利用擴展函數，我們可以發現，它似乎更可能只是指網路共享的加密，而不是任何類型的漏洞利用傳播。

四、總結

我們提供此分析，以防止社區中出現不必要的恐慌。它並不意味著詆毀任何報告或個性分析，但在掌握其存在的確鑿證據之前，我們目前認為GandCrab的SMB利用傳播僅僅是推測性的。

如果該功能確實存在（我們真誠希望不存在），我們一定會提供更新。然而，隨著GandCrab在過去一周的快速發展，以及公眾對這種漏洞利用傳播功能的猜測，威脅攻擊者決定在未來的更新中添加它也不足為奇。

無論如何，微軟的MS17-010更新已經修補了這個漏洞。因此，請確保您的系統已得到適當更新。與此同時，FortiGuard Labs將密切關注任何進一步的發展。

IOCs

Sha256

37e660ada1ea7c65de2499f5093416b3db59dfb360fc99c74820c355bf19ec52 (4.1) – W32/Gandcrab.IV!tr

6c1ed5eb1267d95d8a0dc8e1975923ebefd809c2027427b4ead867fb72703f82 (4.0) - W32/GandCrypt.CHT!tr

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！