感染型勒索軟件 Azov分(fēn)析報告
2022-11-28 475
2022年11月27日
感染型勒索軟件 Azov分(fēn)析報告 緊急程度:★★★★☆ 影響平台:Windows
尊敬的用戶: 您好 ! Azov 勒索軟件家族最早出現在今年10月中(zhōng)旬,該家族在知(zhī)名病毒分(fēn)析平台上顯示,每日仍有大(dà)量新增,樣本總量在短短一(yī)個多月時間内達到了上萬份,這還不包括未發現樣本和無法啓動的感染樣本。
Azov 勒索會對非exe、dll、ini、azov類型文件進行破壞,還會感染本地exe程序,這些被感染的程序也能夠執行與母體(tǐ)相同的功能。雖然軟件會留下(xià)勒索信,讓受害者聯系作者以恢複被破壞的文件。事實上,即使受害者聯系作者也是無法進行恢複的,因爲被破壞的文件中(zhōng)的數據與原來數據是無任何關系的,破壞過程并不涉及到加密操作。
攻擊流程
該樣本使用FASM編譯。
其本體(tǐ)經過大(dà)量混淆加密。
自身使用循環Xor解密Shellcode。
解密第一(yī)層後,出現該程序用于搜索和加密文件所需的各類函數以及Shellcode本體(tǐ),但該本體(tǐ)仍處于部分(fēn)被加密狀态,需運行後解密。
該樣本注冊勒索互斥體(tǐ)Local\azov:
動态獲取所需函數,并将其存入數組中(zhōng)。
主程序開(kāi)啓多線程,每條線程從A-Z遍曆獲取每個磁盤驅動器類型。驅動器需滿足DRIVE_REMOVABLE、DRIVE_FIXED、DRIVE_REMOTE類型才會進行下(xià)一(yī)步操作。
獲取磁盤信息,判斷是否可讀可寫。
磁盤滿足條件後,創建與磁盤對應互斥體(tǐ),如Local\Kasimir_C 、 Local\Kasimir_E。
搜索和遍曆磁盤文件。
擦除數據白(bái)名單 ü 不擦除以下(xià)路徑中(zhōng)的文件數據: WindowsProgramDatacache\entriesLow\Conten.IE5User Data\Default\CacheDocuments and SettingsAll Users
ü 不擦除以下(xià)擴展名文件中(zhōng)的數據: .ini .dll .exe .azov RESTORE_FILES.txt(勒索信)
感染X64 exe文件 ü 首先,确認是否爲exe文件:
ü 解析定位PE文件結構。
ü 文件感染前後變化,感染後的程序可以實現母體(tǐ)對應功能,但不是每一(yī)個被感染的程序都能正常運行。
破壞文件
ü 根據文件大(dà)小(xiǎo)破壞文件結構,每666字節間隔寫入自定義數據,該自定義數據與文件本身并無關系。當數據寫入完成後,文件再無恢複可能。
ü 修改文件後綴。
ü 被破壞的文件結構對比,左邊是破壞後的文件,右邊爲原始文件。
釋放(fàng)勒索信 ü 勒索信釋放(fàng)代碼。
亞信安全産品解決方案
ü 亞信安全病毒碼版本17.957.60,雲病毒碼版本17.957.71,全球碼版本17.957.00 已經可以檢測該勒索病毒,請用戶及時升級病毒碼版本。
ü 亞信安全OSCE 行爲監控可有效攔截該樣本的惡意行爲。
ü 亞信安全DDAN沙盒平台可以有效檢測出該家族樣本的行爲。
ü 亞信安全DDAN沙盒可對被感染文件檢測。
安全建議
ü 請到正規網站下(xià)載安裝程序。 ü 盡量不要使用盜版軟件或盜版軟件激活工(gōng)具。 ü 不要點擊來源不明的郵件、附件以及郵件中(zhōng)包含的鏈接。 ü 請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,并将副本放(fàng)在異地存儲。
IOCs
3f858d2837529e6c973ffa7c26c643e9748e7282 06f213336a50e8564bf24246f5d7971fdc21a9cb 0ae13cab4139a56708f48830f18c2ff1d763efda 0d06ee595404de3264da3c71f489392b64fa1e2e 0daaddbd5e25c88534652819cd8ae3d75955faf3 0e0bc8e7cb0526046493d88dfe8922f47bb320bf 0e2ddcbea4abefc3f28641d43609fb2000c62d25 107692789d688eede43064c44b6a07958cbc3edd 1645278d2f87598b92fc3bf51e35d4e745e41b74 |