警惕!REvil勒索软件突袭MSP提供商,赎金价值高达7000万美元
事件描述
近日,亚信安全网络安全实验室关注到REvil勒索软件团伙在暗网数据泄漏站点上发布了一条消息,声称他们已于2021年7月2日入侵了MSP提供商,并表明已有100万个系统受到勒索软件的影响,该团伙要求支付7000万美元的BTC,才能提供解密器。此事件引起安全厂商关注,REvil勒索再次成为焦点,亚信安全已截获到相关样本,并将其命名为:Trojan.Win32.SODINSTALL.YABGC。
攻击流程
病毒详细分析
➢ 释放恶意载荷
该样本是一个Dropper,其包含MODLIS和SOFTIS两个资源节。程序运行后,会搜索这两个资源节,然后这两个资源分别释放如下文件:
C:\Windows\mpsvc.dll
C:\Users\USER\AppData\Local\Temp\mpsvc.dll(黑文件)
C:\Windows\MsMpEng.exe
C:\Users\USER\AppData\Local\Temp\MsMpEng.exe(白文件)
然后运行C:\Windows\MsMpEng.exe。
➢ 加载dll并调用其中的恶意函数
MsMpEng.exe加载mpsvc.dll并调用mpsvc.dll中的恶意函数ServiceCrtMain。
➢ 动态解密勒索代码并跳转执行
经过一系列内存解密操作后最终开始执行逻辑。
➢ 解密配置
1
该勒索避免加密以下路径中的文件:
2
该勒索避免加密以下文件:
3
该勒索避免加密如下后缀文件:
4
关闭指定进程:
5
关闭指定服务:
➢ 创建互斥体
Global\422BE415-4098-BB75-3BD9-3E62EE8E8423
➢ 清空回收站
调用函数shell32.SHEmptyRecycleBinW清空回收站。
➢ 提权
使用函数ntdll.RtlAdjusiPrivilege获得调试权限。
➢ 文件加密
⚫ 使用IO完成端口
勒索程序根据系统CPU创建对应数量的加密线程,然后绑定IO完成端口的形式加密文件,提高了加密文件的速度。
⚫ 加密算法
勒索程序使用了一套复杂的加密系统(Curve25519椭圆曲线算法(DECH),AES算法和Salsa20),使得文件很难被解密。经过分析,我们找到了Salsa20加密所使用的常量(expand 32-byte kexpand 16-byte k)。
AES算法轮操作函数:
常量:121665,我们通过google搜索该常量发现,Curve25519椭圆曲线算法使用该常量。
在Github上找到的Curve25519椭圆曲线算法实现代码里同样找到该常量。
⚫ 加密流程
首先DECH算法生成两组密钥对,Session,File:
Sesson_Pulic 、Session_Privite ;
File_Public、File_Privite。
使用File_Privite和Session_Public通过DECH算法生成共享密钥File_Encryption,然后将共享密钥File_Encryption作为Salsa20的密钥用于文件加密。
再次通过DECH算法生成一个密钥对,R_public和R_privite。使用攻击者的公钥Attacher_Public和R_Privite生成共享密钥S。
使用共享密钥S作为AES的密钥对Session_Privite进行加密生成Encrypted_Key,将Encrypted_Key,R_public,File_Public写到文件尾部。
文件加密完成后丢弃File_Encryption、Session_Public、 File_Privite、 R_Privite、Session_Privite和 S。
其中Attacher_Public为:
base64编码形式为:
9/AgyLvWEviWbvuayR2k0Q140e9LZJ5hwrmto/zCyFM=
⚫ 不能对加密文件进行解密
由于Attacher_Privite未知,无法导出共享密钥S;没有共享密钥S,就无法导出Session_Privite;没有Session_Privite,就无法得到用于文件加密的File_Encryption。
⚫ 加密共享
➢ 更改桌面背景
文件加密完成后,使用GDI32库函数绘制勒索桌面背景。
➢ 重启删除白文件
亚信安全产品解决方案
➢ 亚信安全病毒码版本16.851.60,云病毒码版本16.851.71,全球码版本16.851.00 已经可以检测,请用户及时升级病毒码版本;
➢ 亚信安全DDAn沙盒平台已经可以检测;
➢ 亚信安全产品行为监控功能可以拦截该勒索病毒,建议用户开启行为监控功能,有效拦截已知和未知勒索病毒;
安全建议
打开系统自动更新,并检测更新进行安装;
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中包含的链接;
请到正规网站或者应用商店下载程序;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
尽量关闭不必要的端口;
尽量关闭不必要的网络共享;
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
IOC:
SHA-256 :D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E
了解亚信安全,请点击“阅读原文”