前言
近期,360威胁情报中心捕获到一起针对中文使用者的钓鱼邮件。该邮件带有一个压缩包,经分析发现,该压缩包内为最新的GandCrab 5.2勒索软件。基于该线索,360威胁情报中心对GandCrab勒索软件最新变种的IOC,攻击技术和传播方式进行分析汇总,并提出了一些解决方案,以供读者参考。
攻击分析
本次攻击的邮件内容如下所示
邮件标题为“你必须在3月11日下午3点向警察局报到!”
发件人邮箱为:Jae-hyun@idabostian.com
发件人名称:Min, Gap Ryong
可见内容存在大量乱码字样,内容大致为请来警局参与调查,并附上了相关内容。
通过解压03-11-19.rar 后,可见其内含有一个伪装成word图片的,带中文乱码的exe文件。
“你 须瞍3昱11祉 珥3锩 添筇涎报羽”
运行恶意软件后,可见桌面被替换并显示GandCrab 5.2的相关勒索信息
勒索信息文本,其中文本名称和后缀均为随机生成,勒索信息文本为固定格式XXXXXXX-MANUAL.txt
其中Tor 节点如下:
http://gandcrabmfe6mnef.onion/e49217da629e6a2d
样本分析
恶意代码的入口处会先通过CreateToolHelp32Snapshot创建进程快照,然后调用Module32First判断返回值:
返回值等于0的话会进入fun_ExecMain函数后会执行后续的恶意代码,在之前会填充很多垃圾指令 ,为了免杀:
会解密文件中包含的2块数据,复制到新申请的可执行的内存空间,解密后的数据是shellcode,直接执行起来:
解密后的2块数据合并成一个完整的shellcode,如图为解密后的数据的汇编代码:
Shellcode的功能主要是解密出勒索的主体PE并在内存中加载起来:
Dump出解密出的PE的信息如下:
MD5:
b961adffea4c6cf915e1f04ddea6408e
编译时间:
2019-02-24 00:51:29
字符串信息:
字符串用的RC4算法,所有的字符串都用了RC4算法:
传进去的数据结构为:
0-0x10字节:RC4密钥
Len = Dword(0x10-0x14)^dword(0x15-0x18):后面数据的长度
0x18- Len:待解密的数据
例如下面的数据:
75 31 45 89 2A 27 CA 9B D3 65 BE CF D2 94 50 1E //RC4密钥
42 4C 17 1B //长度的异或前值 A
52 4C 17 1B //长度的异或后值 B A异或B = 0x10 就是后面数据的长度
FC E3 01 54 2D D6 08 5A 67 43 6C A9 88 49 53 90 //数据
解密的数据如下:
以下为勒索成功后的截图:
传播方式
目前已知的传播方式如下:
1、定向鱼叉攻击邮件投放
2、垃圾邮件批量投放传播
3、网页挂马攻击
4、利用CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)进行传播
5、利用weblogic漏洞进行传播
6、利用自动化机制病毒进行传播(https://mp.weixin.qq.com/s/R-Ok96U5Jb2aaybUfsQtDQ)
传播方式包括:
a)通过RDP、VNC等途径进行爆破并入侵
b)利用U 盘、移动硬盘等移动介质进行传播
c)捆绑、隐藏在一些破解、激活、游戏工具中进行传播
d)感染 Web/FTP 服务器目录并进行传播
主要传播端口为: 445、135、139 、3389、5900 等端口
解决方案
请持续关注国内外厂商对Gandcrab 5.2的解密情况
Gandcrab 5.1之前版本的解密工具:
http://lesuobingdu.360.cn
防护建议
1、尽量关闭不必要的端口,如 445、135、139 等,对 3389、5900 等端口可进行白名单配置,只允许白名单内的 IP 连接登陆。
2、采用高强度的密码,避免使用弱口令密码,并定期更换密码。
3、安装 360 天擎新一代终端安全管理系统。
4、及时更新软件,安装补丁。
总结
由于Gandcrab 5.2版本会通过垃圾电子邮件分发,因此我们建议您不要打开任何未知来源的电子邮件,尤其是不要打开附件。即使附件来自常用联系人,我们也建议您在打开之前,使用360天擎对其进行扫描,以确保它不包含任何恶意文档或文件。
360威胁情报中心最后再次提醒各企业用户,加强员工的安全意识培训是企业信息安全建设中最重要的一环,如有需要,企业用户可以建设态势感知,完善资产管理及持续监控能力,并积极引入威胁情报,以尽可能防御此类攻击。
目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天眼高级威胁检测系统、360 NGSOC等,都已经支持对Gandcrab 5.2的检测。
IOCs
下面为近期Gandcrab 5.2 的IOC信息,以供参考。
d5ad7b954eace2f26a37c5b9faaf0e53
445dd888ed51e331fdcf2fa89199cca6
9b1305f5a007bbcf285728d708b244bd
0fa03c293462822f60a3ebb1a156e01c
a092fd3cf6da1885ff348b3c6d1fd922
e17a131aa1ea229a176459547c7e7a3f
f2b4239309bc461e844091814ce3cb9c
f6fffc29f5ec5e8e94e130739fad8da1
ad18697ef19bb91a98e5778555fb41c5
5363d5f1769bc5cfdd9484c9025beb1b
c7b236f53ad4360c6934c263fe882f5e
1aafc253fa9fe127f695e609c44c4db8
fa507fd54405ca99625d0afdb18a7aff
fa720701a8c8b07908202e382782ab7a
ac6df351b6516f22aec3d59caa0c5d6a
608a8be96683d0bc308a1abdb18844c3
6937f4e49a1f57b0e0f223a71235d66e
b2e8b64ff69edda0db78987048a686e2
e376c7ab4f38eb1c1ed151d9530f1243
8d690776b198c1b65ec038d1a31a77b4
23f14288b9744bb32040d533b7198b93
传播恶意软件的下载链接
http://104.248.43.245/audi.exe
http://101.96.10.37/92.63.197.153/work/1.exe
http://159.89.142.248/wow.exe
Tor节点
http://gandcrabmfe6mnef.onion/e49217da629e6a2d