新2会员网址(www.22223388.com):一步一步剖析勒索软件Darkside(上)

USDT交易平台

U交所(www.usdt8.vip),全球頂尖的USDT場外擔保交易平臺。

,

摘要

勒索软件Darkside是在Colonial Pipeline攻击流动中使用的一个恶意软件家族,于2021年5月7日被曝光,详情可参考https://www.zdnet.com/article/darkside-the-ransomware-group-responsible-for-colonial-pipeline-cyberattack-explained/。该二进制文件包罗一个经由加密的设置,它需要使用自界说算法举行解密;另外,该设置含有一个22字节的缓冲区,用于形貌该恶意软件执行的差异操作。这些操作包罗:检查系统语言并阻止加密俄语机械,删除卷影副本,清空接纳站,忽略特定文件、目录和文件扩展名,杀死特定历程,删除特定服务等。该勒索软件可以使用CMSTPLUA COM接口举行权限升级,并通过将自己安装为服务来实现持久性。另外,被挟持的文件是使用自界说的Salsa20算法实现举行加密的,其中Salsa20矩阵则是由硬编码在二进制代码中的RSA公钥举行加密的。Darkside使用带有I/O完成端口的多线程手艺,在主线程和认真文件加密的事情线程之间举行通讯。值得一提的是,该历程使用RDRAND和RDSEED指令天生随机的Salsa20矩阵,而早期版本则使用RtlRandomEx函数完成该义务。

手艺剖析

SHA256: 0A0C225F0E5EE941A79F2B7701F1285E4975A2859EB4D025D96D9E366E81ABB9

该恶意软件带有一个加密的设置,而且它必须通过自界说算法举行解密。

图1

其中,自界说解密算法由4次减去0x10101010的减法运算和一些加法运算组成,详细如下图所示:

图2

对于要加载的每个DLL,都用一个哈希函数盘算DLL名称的哈希值,并将长度为4字节的盘算效果与硬编码的值举行对照:

图3

例如,下列值对应于kernel32.dll:

图4

预计将加载以下DLL:ntdll、kernel32、Advapi32、user32、gdi32、ole32、oleaut32、shell32、shlwapi、WinInet、netapi32、wtsapi32、activeds、userenv、mpr、rstrtmgr。该历程凭证使用相同算法盘算获得的相近哈希值检索多个导出函数的地址。

图5 

解密后的设置如下图所示,它由RSA-1024指数(0x010001=65537)、0x80字节的RSA-1024模数、受害者UID、22个设置字节(将进一步详述)和aPLib压缩设置组成:

图6

 该二进制文件使用aPLib-解压算法来解密差其余字符串。下图展示的是在加密历程中要阻止加密的目录:

图7

 以下文件将被勒索软件忽略:

图8 

若是文件的扩展名属于以下列表,那么就纰谬该文件举行加密:

图9 

该二进制文件将会删除名称中包罗“backup”一词的文件夹:

图10

行使该恶意软件未使用的一个特征,能够将以下字符串解压为其他字符串(我们的预测是,攻击者试图杀死与SQL相关的历程,以加密数据库)。

图11

以下历程将不会被该软件终止:

图12

若是一个历程名称包罗以下字符串,它将被杀死:

图13

此外,另有一个要中止和删除的服务列表,详细如下图所示:

图14

C2服务器的列表也是用同样的算法获得的:

图15

该历程将显示一条新闻,该新闻将用于设置自界说壁纸,该壁纸包罗针对受害者的主要指示:

图16 

赎金通知的内容也被写入历程内存中,如图17所示:

图17

下表形貌了恶意软件凭证上面解密的设置所要接纳的操作:

该恶意软件使用NtQueryInstallUILanguage和NtQueryDefaultUILanguage API来确定系统的语言,并将效果与0x419(俄语标识符)举行对照。 若是这两个值匹配,则恶意软件退出:

图18

该恶意软件还会挪用RegCreateKeyExW函数,该函数用于确立(若是已经存在,则打开)“Software\Microsoft\Cryptography”注册表项,如下所示: 

图19

之后,恶意软件从上述注册表项中提取“MachineGuid”值,如下图所示:

新2会员网址

新2会员网址(www.22223388.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

 图20

图21

该历程实现了一个自界说的哈希算法,天生8个小写的十六进制字符,(“MachineGuid”值是输入,该算法会应用8次): 

图22

图23

上面盘算出的值(我们称它为RansomPseudoValue)将被用于以下结构:

◼服务名称:< RansomPseudoValue >

◼服务显示名称:< RansomPseudoValue >

◼赎金说明:README< RansomPseudoValue >.TXT

◼壁纸:%PROGRAMDATA%\< RansomPseudoValue >.bmp

◼每个加密文件将具有以下名称:< Original filename >< RansomPseudoValue >

◼图标文件:%PROGRAMDATA%\< RansomPseudoValue >.ico

◼已确立注册表项:HKCR\< RansomPseudoValue >\DefaultIcon=%PROGRAMDATA%\< RansomPseudoValue >.ico

该二进制程序使用SHTestTokenMembership API来验证用户是否属于Administrators组(0x220=544)。 

图24

我们将凭证用户的权限把剖析历程分成3个差其余部门:低级权限、治理权限和SYSTEM权限。

低级权限

该恶意软件试图使用CMSTPLUA COM接口绕过UAC,详见如https://gist.github.com/api0cradle/d4aaef39db0d845627d819b2b6b30512。现实上,它是行使ZwOpenProcessToken来打开与历程相关的接见令牌的: 

图25 

NtQueryInformationToken函数被用来获取与令牌相关的组账户(0x2 = TokenGroups),它检查在TOKEN_GROUPS结构体中是否能找到治理员组: 

图26

为了在当前线程上初始化COM库,需要挪用CoInitialize例程,如图27所示: 

图27

到现在为止,这个二进制文件使用了许多低级其余API(来自ntdll)。好比,它使用ZwAllocateVirtualMemory API(0x3000 = MEM_COMMIT | MEM_RESERVE,0x4 = PAGE_READWRITE)分配了一个新的内存区域:

图28

同时,我们还发现它挪用了一个未公然的API函数,即LdrEnumerateLoadedModules: 

图29

同时,它还通过名为Elevation:Administrator!new:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}的工具运行了CoGetObject,详细如下所示:

图30

总的来说,它将以系统权限重新启动恶意软件: 

图31

图32

治理权限

与第一种情形一样,该二进制代码使用ZwOpenProcessToken来打开与历程相关的接见令牌:

图33

然后,行使NtQueryInformationToken API来检索该令牌的用户账户(0x1 = TokenUser):

图34

然后,该恶意程序使用LookupAccountSidW来获取与作为输入的SID相关的账户名称,如图35所示:

图35

之后,举行3个差其余对照操作:将域名(在我们的例子中是盘算机的名称)划分与“NT AUTHORITY”、“AUTORITE NT”和“NT-AUTORITAT”举行对照(简朴来说,它试图确定用户账户是否为SYSTEM):

图36

OpenSCManagerW例程用于确立与服务控制治理器的毗邻:

图37

该历程实验打开一个名为< RansomPseudoValue >的服务(此时还不存在):

图38

由于该服务不存在,恶意软件会出于持久化目的而确立它,如下图所示:

图39

图40

启动新确立的服务,而且该二进制程序将自身作为服务启动: 

图41

小结

在本文中,我们从手艺角度为读者深入剖析了勒索软件Darkside,由于篇幅过长,我们分为三篇文章举行揭晓,更多精彩内容,敬请期待!

本文翻译自:https://cybergeeks.tech/a-step-by-step- *** ysis-of-a-new-version-of-darkside-ransomware/

  • 评论列表:
  •  皇冠登1登2登3
     发布于 2021-08-25 00:09:44  回复
  • USDT跑分(www.usdt8.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。懒人宅家看文,安逸~
  •  皇冠注册平台(www.22223388.com)
     发布于 2021-10-26 00:12:42  回复
  • 你说的没错,就是蔡明和潘长江,年纪很大了,互相吐槽,节目组甚至打出了“再见”的口号!两者都是无数人的青春回忆。吐槽是现在比较流行的一个比较年轻的语言节目。他们的吐槽有什么效果?出新的我一起追

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。