近日,腾讯御见威胁情报中心监测到国内发生大量借助钓鱼邮件方式传播的sodinokibi勒索攻击。该病毒与大名鼎鼎的GandCrab较为相似,该病毒已于周末宣布停止运营。而sodinokibi勒索几乎完全继承了GandCrab的传播渠道。
sodinokibi勒索病毒首先出现于2019年4月底,早期使用web服务相关漏洞传播。近期发现,sodinokibi勒索病毒会伪装成税务单位、司法机构,使用钓鱼欺诈邮件来传播(病毒附件名:關於你案件的文件.doc.exe,聯繫方式.doc.exe,來自最高法院的文件\錶殼材料.doc.exe,稅務局的文件\樣品填充.doc.exe等)。由于系统默认设置不显示文件扩展名,伪装成doc文档的EXE病毒常被错误判断为文档而双击打开。
通过分析近期传播的sodinokibi勒索病毒可知,该病毒在代码二进制上相比较有了进一步变化,主要为有部分样本暂时弃用CVE-2018-8453漏洞(一个Windows内核提权漏洞),同时对使用到的大量字串进一步使用RC4算法进行加密。最终使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程,这意味着该病毒加密文件效率将进一步提升,被该病毒加密破坏的文件暂时无法解密。
sodinokibi勒索病毒在执行加密时,会排除白名单中指定的某些文件夹和文件类型不加密,病毒也会排除几个俄语系国家及东欧国家不进行加密破坏行动。
腾讯安全专家提醒用户务必小心处理来历不明的邮件,推荐修改系统默认的文件查看方式,选择查看已知文件类型的扩展名,就可以简单识别那些伪装成doc文档的危险程序。目前,腾讯电脑管家和腾讯御点均可查杀该勒索病毒。
分析
sodinokibi勒索通常情况下会使用外壳程序来保护自身核心代码,通过调试可在内存中找到核心勒索payload。
外壳程序通过拷贝勒索payload节数据,修正重定位信息后跳转入口代码执行
勒索payload执行后首先动态解密修正IAT,共131处
近期发现病毒版本此多修正7处,共138处,这意味着病毒功能更加丰富
判断当前系统为x86或x64
读取相应的配置“exp:true”后尝试准备相应的提权payload
payload为CVE-2018-8453提权利用相关代码
分析近期样本可知,近期部分病毒版本由于配置原因并不执行提权payload,猜测因为漏洞利用代码由于兼容性问题导致可能出现蓝屏,故病毒作者暂时不再提权
病毒通过在内存中解密出大量使用明文信息,其中包含了尝试使用的上传domain列表和
以下部分信息:
RSA公钥信息:
"nAjfiPcoIyeIwwCkM1hLhXo5HUQMtrAB+7m8eHzerho="
白名单过滤目录:
["system volume information"
"mozilla","appdata","intel","msocache","$windows.~ws","programdata","perflogs","programfiles","windows","boot","google","$windows.~bt","programfiles (x86)","tor browser","applicationdata","windows.old","$recycle.bin"]
白名单过滤文件:
["autorun.inf","ntuser.dat","ntuser.dat.log","ntldr","thumbs.db","desktop.ini","ntuser.ini","boot.ini","bootfont.bin","bootsect.bak","iconcache.db"]
白名单过滤后缀:
["hlp","icns","cab","com","ico","icl","nls","cpl","bin","ics","spl","dll","ps1","scr","cmd","prf","lnk","diagcab","wpx","msc","adv","nomedia","sys","mpa","shs","rom","themepack","cur","msu","drv","ocx","msstyles","mod","key","diagcfg","msi","ldf","rtp","ani","bat","386","idx","msp","theme","diagpkg","lock","hta","deskthemepack","exe"]
结束进程信息:
["mysql.exe"]
解密出的勒索说明信息
Domain使用会随机拼接以下3部分内容作为完整url,进一步上传本地用户名,操作系统等感染信息
而近期传播病毒版本对样本内使用的大量明文字串使用RC4算法进行了加密处理,通过动态解密后使用
通过获取键盘布局信息,加密时避开部分语言国家
该病毒同样会删除系统卷影信息防止文件找回
分析近期传播版本病毒可知病毒加密文件前会先创建2*CPU个数的工作线程,以便充分利用CPU资源
使用IOCP完成端口模型完成对文件数据的加密流程
加密方式使用salsa20
被加密文件会被添加随机扩展后缀
并留下名为“随机扩展-readme.txt”的勒索说明文件,部分病毒版本使用“随机后缀-HOW-TO-DECRYPT.txt”,同时修改桌面壁纸为深蓝
IOCs
MD5
f92ed77eb41b9e7a0ca17e09f107a9e6
0af70f511fef0a5c3d5d84b5c02b3961
e46d2a8345033bb845270db946ca0d96
c5d873737465e219f2aeab6de1b53a82
ebef42cbd2c43ef6adb1599259e197d7
ef8f9dbdd85992d71c338e05ea92cd01
安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码
2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。