专栏名称: 深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
目录
相关文章推荐
51好读  ›  专栏  ›  深信服千里目安全实验室

【EDR-极'智'勒索防护】可解密!深信服EDR可精准查杀新型RoBaj勒索病毒

深信服千里目安全实验室  · 公众号  ·  · 2022-09-04 10:12

正文


恶意文件名称:

RoBaj

威胁类型:

勒索病毒

简单描述:

RoBaj 勒索软件于 2022-08-06 首次在 VT上出现,该病毒使用 .Net 编写,其文件名我“说明 解锁文件(英文)”,实则是中文的提示勒索信息,猜测该病毒主要针对使用中文简体的国家和地区进行攻击。


恶意文件分析

1.恶意文件描述

近期,深信服深盾终端实验室在运营工作中发现, 新型勒索病毒 RoBaj 正在传播。攻击者通过 3389 端口爆破 RDP 获得主机权限,进入内网,通过 smb、rdp爆破在内网传播,随后上传勒索文件,该病毒最终会释放勒索主程序system32.exe。


该勒索病毒主要针对使用中文简体的国家和地区进行攻击,在分析的过程中发现该勒索病毒直接或间接被 Neshta 蠕虫感染。病毒释放的所有可执行程序被 Neshta 蠕虫感染。

2.恶意文件分析

文件基本信息


MD5

26c4346f6939838c95488fdc7e7a9dce

SHA-1

fe3054b3a8108f62ad549455dbaa4f37828a127c

SHA-256

f22eaf840ec9aa6441df76c501eceb23618f5d9e72462947c4a40e35b629d56e



勒索功能


查看文件的属性信息,发现该文件为自解压格式 ZIP 压缩文件,同时在该文件的属性信息中包含了注释内容,该文件会在 C:\Users\Public\Public Docker 目录下释放所有文件,其中 system32.exe 属于启动文件,如下所示:



从注释内容可知,该文件为 SXF 自解压文件。这种文件结合了一种用来运行从压缩文件解压文件的可执行文件模块。这样的压缩文件不需要外部程序来解压自解压文件的内容,它自己便可以运行该项操作。其中可执行文件为内部的 system32.exe,同时也可以借助其他解压工具进行解压,解压后如下所示:



其中 Files 文件夹下的内容如下所示:



其中 “Description Unlock Files.exe” 为锁屏和勒索提示程序。而 “Description Unlock Files.txt” 则是英文版勒索提示文档,“说明解锁文件(英文).txt” 其实为中文版的勒索提示文档。通过对比谷歌翻译和百度翻译,发现采用谷歌翻译获得的结果和 “说明解锁文件(英文).txt” 中的文字及格式分毫不差,猜测该中文说明文档可能是由类似谷歌翻译等国外翻译网站直翻而来。由此猜测攻击者可能来自国外,该勒索样本可能是专门针对中国(不包括中国台湾)进行的攻击。


中英文勒索提示信息对照

中英文勒索提示(可能来源谷歌翻译),内容完全一致


勒索主程序 System32.exe


使用 DIE 查看文件的基本信息,发现该文件采用 .NET 编译,并使用了 Confuser(1.X)、ConfuserEx(1.0.0) 的混淆。


借助反混淆工具 UnConfuserEx 和 de4dot 进行解除混淆,发现该样本存在启动参数,参数为 “Zx ”,用来绕过沙箱自动执行的动态分析。当样本无参数启动或者以一个无效的参数启动时,控制台均会再次提醒输入参数,直至输入正确参数。



将自身添加进注册表启动项:



程序使用了参数设置为 0 的 ShowWindow 函数来隐藏执行窗口,使得程序的执行“悄无声息”。



将自定义图标分配给固定的文件类型:



为了尽可能多得加密文件,避免文件被占用,勒索程序还会关闭一些非病毒主程序自身及进程名中不包含Description Unlock Files、说明 解锁文件(英文)、explorer、conhost 的进程。

病毒主程序:








请到「今天看啥」查看全文


推荐文章
悦读文摘  ·  做 人 (写得真好)
7 年前
十点读书  ·  最贵是人品
7 年前
基因检测与解读  ·  讨论 | 二代测序报告中需要明确嵌合突变吗
7 年前