New LockCrypt رازفاجاب ینف لیلحت · 2018. 12. 29. · : ایوپ لیلحت...
12
تعالی باسمل فنی تحلی باج افزارLockCrypt
Transcript of New LockCrypt رازفاجاب ینف لیلحت · 2018. 12. 29. · : ایوپ لیلحت...
باسم تعالی
LockCrypt افزار باجتحلیل فنی
2
مقدمه :
خبهش LockCrypt جذیذی به وها ومو، اص ششيع فعالیت افضاس باجمشاذ ي سصذ فضای سایبشی دس صمیى
ها پوهوذ په اص سمضذهزاسی فایه ي مهی باشهذ Satanاص خهاواد ی بهاج افهضاس افهضاس باجایه .دذ می
.BadNews ي وا فای سا ویض طبق الگی خها تیییهش کىذ میاضاف ی سمضذزاسی شذا سا ب اوتای فای
شهذ به سيص سسهاوی مهیددی 2018آذست سال 28دس افضاسایه باج ک دذ ا وشان میبشسسی. دذ می
. اوجها داد اسهت ها ششکت دس RDP بدن باص بذلی ي بیشتشیه حمل سا مان ايای ب ایالت متحذ است
.کىذ می استفاد AES-256 + RSA-2048اص الگسیتم سمضوگاسی افضاس باجایه
مشخصات فایل اجرایی :
1c2bdfa5e33cbf8eb22c3664de2b136aa622a81b53641628d2623a42b533b3b4._exe وا فای
MD5 eafaa42663af82821d56bd6fc848a88f
SHA-1 86a6d33e613d54651652e22346662388626e68b8
SHA-256 1c2bdfa5e33cbf8eb22c3664de2b136aa622a81b53641628d2623a42b533b3b4
KB 13 اوذاص فای
TASM / MASM / پکش کامپایلش
بخش است : چاسداسای افضاس باجفای اجشایی ایه
اوذاص خا اوذاص مجاصی آدسس مجاصی آوتشيپی وا بخش
.text 5.67 4096 4996 5120
.rdata 4.52 12288 2156 2560
.data 7.51 16384 4624 2560
.rsrc 6.1 24576 1568 2048
3
: تحلیل پویا
فای اجشایی آن سا دس محیط آصمایشگای اجشا کشدیم تا عملکهشد LockCrypt افضاس تش باجبشای بشسسی عمیق
.ا اص وضدیک مسد بشسسی قشاس دیمافضاس س باج
الیهت بشخهی فشآیىهذا په اص اجهشا اص شهشيع فع LockCryptافهضاس ای صست ذشفته، بهاج طبق بشسسی
ای مجد دس سیوتم سمضذزاسی شذ فعالیت تما وش افضاسای ذشد شهذ تما فای لذیشی می کىذ.ج
فایه های شهد که ذشد می search filesپىجش ای ب وا افضاس پ اص اجشای باج سساوذ. سا ب پایان می
کىذ. می مجد دس سیوتم سا شماسش
.کىذ میب شذت افت طی سمضذزاسی عملکشد سیوتم
ي سمضذزاسی وشذ شد ک ایه پییا دس تمامی فلذسای سمضذزاسی شذ خای ذشد می جپییا باسپ
سا می باشهذ How To Decode Files.htaوا بک سا افضاس باجخای تصیش صیش پییا باج .ویض يجد داسد
دذ. وشان می
4
میتان ب ومایش پییا باج خای ک تما صفح است پایان داد. mshta.exeبا بوته فشآیىذ
دس ابتهذای آن ،خهای پییها بهاج بش اسهاس سمضذهزاسی شهذ سیوهتم تمها فایه های اشهاس شهذ که
مشههخک کههشد کهه دس وهها تمهها فایهه ههای سمضذههزاسی قشبههاوی سا سکتشیاکهه 12 شىاسههسههپ .اسههت
ایمیهههه آدسس بههههشای بشقههههشاسی استبهههها مههههاجم شههههذ ویههههض تکههههشاس شههههذ اسههههت.
[email protected] تعیهههههههیه ویهههههههض سا
الههضا فشسههتادن یههک فایهه متىههی یهها یههک تصههیش سا بهه دسیافههت سمضذشهها دس ادامهه بههشای اسههت. ومههد
اختصاصی یاد شذ ویض بایذ رکش شد. شىاسدذ ي دس مته ایمی آدسس میایمی رکش شذ
بیت کیه سا داسد. 1 ذ ک دس آن تقاضای پشداختکىی ب ایمی سا مشاذ می ماجمپاسخ دس تصیش
:کىذ میب قشباوی معشفی دس پییا باج خای مچىیه آدسس کیف پل صیش سا
تشاکىشی وذاشت است.یچ حال ای صست ذشفت ایه کیف پل تاکىنطبق بشسسی
1EoiWT2hzLeWnFUsVsVa6B5knQPLA8qjHK
5
.بیت کیه داد شذ 0.7سيص بعذ پیشىاد
وا دذ ي اوتای می تیییش BadNews.باج افضاس پووذ فای ای سمضذزاسی شذ سا ب ،پ اص سمضذزاسی
:دذ صیش تیییش می الگیویض طبق سا ا فای
BadNews. + (آی دی قشباوی) + (فاصل) + ID + (فاصل) + )وا فای ي پووذ فای (
سا حهز recycle binي مچىیه فایه های مجهد دس کىذ میایه باج افضاس سمپ خد سا دس اوتا پاک و
.کىذ می
فای ای اضاف شذ ي تیییش یافت دس مویش دسای سیوتم دس تصايیش صیش په اص Windowsعامه ي پشه
: کىیذ سا مشاذ میافضاس اجشای باج
6
7
:تحلیل ایستا
ب وتایج صیش دست پیذا کشدیم. LockCryptافضاس باج پ اص تحلی کذ
دذ. ویض سمضذزاسی سا اوجا میایه باج افضاس بذين اتصال ایىتشوت
: یاص سمضذزاس قب ي بعذ ، یومو فا ویمقا
8
بشابهش دذ که په اص سمضذهزاسی بهیش اص دي مقایو ومو فای سالم ي سمضذزاسی شذ موان، وشان می
محتای ايلی حجم افضيد شذ است.
سمضذزاسی: ی ومو فای بعذ اص شذ جایگضیه یا بایت تعذاد
سجیوتشی اضاف شذ: کلیذ
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run unlock = "% Windows% \ notepad.exe" c: \ ReadMe.TxT HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon Hacked = {random characters} HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
LegalNoticeCaption = "Attention !!! Your files are encrypted "!!! HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
LegalNoticeText = To recover files, follow the prompts in the text file "Readme " HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
9
Userinit = "% System% \ userinit.exe, c: \ Windows \ bfsvcm.exe ",
جذيلک دس کىذ میا استفاد اص شکذا اص کتابخاو یب مشا تابع یىذيصیي یا کتابخاوافضاس اص ایه باج
: صیش قاب مشاذ است
: کىذ میای صیش سا ایجاد پ اص اجشا، فشایىذ LockCryptافضاس ای صست ذشفت، باجبش اساس بشسسی
Input Sample (PID: 4204)
cmd.exe /c vssadmin delete shadows /all (PID: 2200)
vssadmin.exe vssadmin delete shadows /all (PID: 4024)
kernel23.dll kernel23.dll kernel23.dll advapi23.dll GlobalMemoryStatus lstrcmpiW GetEnvironmentVariableA LoadResource CreateFileW GlobalAlloc RtlMoveMemory FindClose Sleep MoveFileW SetFileAttributesW CreateFileA FindResourceA
SetErrorMode MultiByteToWideChar GetLogicalDrives lstrcatW
Process23FirstW
SetFilePointer lstrcpyW CreateThread MapViewOfFile GetModuleHandleA FindNextFileW WriteFile CloseHandle CreateFileMappingA FindFirstFileW TerminateProcess lstrcmpW
CreateToolhelp23Snapshot
UnmapViewOfFile lstrlenA lstrcmpiA GlobalFree CopyFileA ExitProcess GetFileAttributesW GetModuleFileNameA
Process23NextW
SizeofResource RtlZeroMemory SetThreadPriority GetCurrentProcessId OpenProcess lstrlenW
CryptDestroyKey LookupPrivilegeValueA CryptReleaseContext RegCloseKey OpenProcessToken CryptAcquireContextA AdjustTokenPrivileges RegQueryValueExA CryptExportKey RegSetValueExA CryptEncrypt RegOpenKeyExA CryptDecrypt CryptGenKey CryptImportKey
comctl23.dll shell23.dll mpr.dll user23.dll InitCommonControls ShellExecuteA WNetOpenEnumA
WNetEnumResourceA WNetCloseEnum
GetMessageA SetTimer UpdateWindow DispatchMessageA SendMessageA GetDlgItem CreateDialogParamA TranslateMessage ShowWindow
10
فایل های هدف :
تحلیل ترافیک شبکه :
ي تدش بشای بشقشاسی استبا با میضبهان دس DNSمتج یچ ذو دسخاست پ اص بشسسی تشافیک شبک،
وشذیم.LockCryptافضاس ی جیشافیایی خا تسط باجوقط
.incpas, .mp4, .pab, .st6, .sas6bdat, .wmv, .backup, .drf, .ibank, .3ds, .odg, .cer, .tif, .cs, .dotx, .6z, .png, .bak,
.ibz, .db3, .pbl, .3fr, .dxf, .nk2, .bkp, .mdf, .svg, .xlm, .3dm, .pct, .java, .pot, .sxi, .ibd, .sxw, .pspimage, .ppt, .kbx,
.ppsm, .ndd, .txt, .pdb, .say, .backupdb, .fla, .swf, .asx, .accdt, .mp3, .ycbcra, .erf, .cr2, .pfx, .potx, .qby, .sqlite,
.blend, .class, .pat, .odp, .gray, .qbw, .tib, .thm, .htm, .mos, .rm, .key, .std, .tlg, .lua, .pst, .sqlitedb, .grey, .cdr4,
.dc2, .ce1, .ps, .tex, .eml, .xlam, .pages, .st8, .jar, .st6, .potm, .sdf, .db-journal, .pcd, .aspx, .rwl, .kpdx, .fmb, .xlr,
.gry, .kc2, .oil, .moneywell, .xlk, .sti, .accdr, .oth, .c, .xml, .nd, .mdb, .pem, .erbsql, .bpw, .ffd, .ost, .pptm, .dwg,
.zip, .qbm, .cdx, .des, .dng, .pdd, .cfp, .nyf, .cgm, .sldm, .xla, .odf, .raf, .crw, .mef, .raw, .x11, .nsd, .fff, .design,
.dcs, .ptx, .al, .ns2, .bik, .back, .accdb, .nwb, .cpi, .ads, .odt, .sqlite3, .docm, .drw, .pl, .nx2, .fpx, .rdb, .otp, .msg,
.accde, .agdl, .php, .csv, .py, .rtf, .ach, .sda, .ddd, .asf, .dotm, .cmt, .h, .hbk, .xlsx, .s3db, .tga, .wav, .iif, .dxb,
.sql, .db, .sd3, .bgt, .djvu, .jpg, .doc, .craw, .mpg, .sxd, .kdc, .jpeg, .psafe3, .flac, .dtd, .act, .qba, .vob, .cdrw,
.eps, .bkf, .mdc, .rar, .mov, .cdf, .m4v, .ab4, .bank, .pps, .cib, .dot, .dgc, .exf, .flv, .xlsb, .ddrw, .adb, .srw, .plc,
.csh, .xls, .fxg, .otg, .pas, .xlt, .indd, .rwz, .xltx, .apj, .stw, .xltm, .orf, .ott, .qbb, .max, .cls, .obj, .docx, .dcr, .cdr3,
.qbx, .pdf, .nef, .ots, .srt, .ddoc, .rat, .phtml, .m, .dbx, .nxl, .avi, .p12, .awg, .dbf, .ns3, .mmw, .prf, .wallet, .rw2,
.jin, .odc, .qbr, .ppsx, .ns4, .wpd, .wps, .nsh, .dxg, .fhd, .dac, .wb2, .nrw, .odb, .ait, .jpe, .odm, .sldx, .fdb, .acr,
.war, .oab, .sxc, .cpp, .r3d, .hpp, .asm, .st5, .stx, .xis, .dds, .xlsm, .p6c, .cdr5, .3g2, .mrw, .sr2, .html, .cdr, .idx,
.st4, .bdb, .kdbx, .nsg, .der, .ods, .myd, .nop, .ppam, .pptx, .yuv, .xlw, .mfw, .nsf, .csl, .php5, .p6b, .crt, .asp, .srf,
.jsp, .cdr6, .sxm, .iiq, .3gp, .ce2, .arw, .bay, .ai, .sxg, .psd, .3pr, .fh, .pef, .x3f, .sik, .bpp, .vmdk, .spi, .bup, .cvt,
.bb, .fkc, .tjl, .dbk, .swp, .fb, .vib, .dtb, .bke, .old, .bkc, .jou, .rpb, .abk, .sav, .bkn, .tbk, .fbw, .vrb, .spf, .bk, .sbk,
.umb, .ac, .vbk, .wbk, .mbk
11
: VirusTotalخروجی سامانه
قهادس به VirusTotalآوتی يیشيس ي آوتی بهذافضاس مجهد دس سهاماو 68مسد اص 50تعذاد اضشدس حال ح
کىىذ. بد يآن سا حز یا غیشفعال می افضاس باجشىاسایی ایه
12
مرکز ماهر : کاو یروسخروجی سامانه و
کهاي مشکهض مهاش يیشيسآوتی يیشيس ي آوتی بذافضاس مجد دس ساماو 11مسد اص 6تعذاد اضشدس حال ح
کىىذ. بد يآن سا حز یا غیشفعال می افضاس باجقادس ب شىاسایی ایه
