搜索此博客

2017年2月3日星期五

【木马分析】“spora”敲诈者木马分析

本邮件内容由第三方提供,如果您不想继续收到该邮件,可 点此退订
【木马分析】"spora"敲诈者木马分析  阅读原文»

2017-02-03 17:10:21 来源:安全客 作者:360安全卫士
阅读:2345次 点赞(0) 收藏

http://p6.qhimg.com/t01fd5b5e46de7b201a.jpg

0x1 前言

"spora"敲诈者是今年年初发现的一款新型的敲诈者木马。该类型的敲诈者木马在密钥的处理以及与受害者的交互上有重大的突破。众所周知,过去的敲诈者木马在密钥的获取上一般有两种方式,一是将密钥硬编码在文件中,这种方案的缺点在于同一批放出的敲诈者木马使用相同的RSA公钥,当有一个私钥泄露之后,同一批敲诈者木马的受害计算机也就可以得救;另一种方式是从服务端获取密钥以达到一机一密钥的目的,不过倘若无法成功从服务端获取密钥将加密失败。"spora"敲诈者在密钥获取上进行了改进,利用相关的API生成一组RSA密钥组和一个AES-256密钥,然后使用该AES-256密钥加密RSA密钥组的私钥,最后用硬编码在文件中的RSA公钥加密AES-256密钥。而对于文件的加密,程序会为每个待加密的文件生成一个AES-256密钥,并用该密钥加密文件,最后再使用之前产生的RSA密钥组的公钥加密每个文件独有的AES-256密钥并写入文件中。具体如下图所示。

http://p6.qhimg.com/t01f585a049785eb5b1.png

图1 加密示意图

 

0x2 样本具体分析

相比较其他敲诈者木马繁琐的运行流程,"spora"敲诈者木马的运行流程相对简洁。首先提取数据段中的数据解密后保存到栈中,作为第一段shellcode

http://p2.qhimg.com/t0131a76b4fd6ffef06.png

图2 解密第一段shellcode

在第一段shellcode中将申请一段内存用于存放第二段shellicode并执行。

http://p9.qhimg.com/t01512ff4a996ba5239.png

图3 申请空间并写入shellcode

在第二段shellcode中程序以挂起方式运行一个自身的新实例,并且以进程替换的方式将第三段shellcode注入到新实例中,这次写入的shellcode将执行程序最主要的功能加密。

http://p5.qhimg.com/t01b1b3d50d86935439.png

图4 解除映射以执行进程替换

在傀儡进程中,程序会先判断系统版本。

http://p0.qhimg.com/t010b0c8cba9ad02d4e.png

图5 判断系统版本

完成系统版本的判断后,程序会使用硬编码在程序文件中的AES密钥解密硬编码在程序文件中的加密的RSA公钥以及勒索页面HTML文档。方便起见,后面将称解密得到的RSA密钥为硬编码的RSA密钥。

http://p4.qhimg.com/t017fbda621fef6068d.png

图6 解密得硬编码的RSA密钥和勒索页面HTML文档

之后程序读取相应的标记文件,该标记文件用于记录加密文件的一些信息。在初次感染该敲诈者时该标记文件是不存在的,程序会自动创建标记文件,并读取文件,由于此时标记文件中并无内容,读取操作会返回-1,程序也就据此确定该计算机是首次感染"spora"敲诈者,并执行加密操作。

http://p4.qhimg.com/t014c81ec6a1f40fccc.png

图7 读取标记文件内容

之后程序将遍历系统的所有文件以及网络资源中的文件,并选择加密的目标。待加密文件的路径将避开"windows""program files""program files (x86)""games" 四个路径,加密文件的类型包括xlsdocxlsxdocxrtfodtpdfpsddwgcdrOPPO安全中心招聘  阅读原文»

10135544637

OPPO是广东欧珀移动通信有限公司旗下品牌,成立于2004年,是一家全球性的智能终端和移动互联网公司,致力于为客户提供最先进和最精致的智能手机、高端影音设备和移动互联网产品与服务,业务覆盖中国、美国、俄罗斯、欧洲、东南亚等广大市场!

OPPO在深圳市南山区卓越后海中心成立了OS产品中心事业部,主要从事与手机软件相关的研发工作,包括其线上系统。现诚招以下优秀人才:

网络架构师

职位描述:

  1. 对于公司的所有网络提供整体规划,制定网络规范和运营体系,包括设计、使用、安全、管理等;
  2. 制定和执行网络设计、搭建、配置、优化、调整的实施方案;
  3. 根据网络运行规范,负责网络的日常运行维护工作;
  4. 一般性网络调整和故障处理,并能够对深度网络技术故障进行分析、快速定位、并提出解决问题的建议或办法;
  5. 网络运行规范和技术手册的编写,机房内硬件设备的管理工作。

任职资格:

  1. 本科或以上学历(统招),计算机或相关专业,3年或以上工作经验;
  2. 具有网络架构的设计、规划能力,精通TCP/IP的通讯原理及常用的网络标准、协议、技术规范;
  3. 熟练掌握Cisco、H3C、华为网络设备的安装、调试、维护;
  4. 熟悉网络交换技术,如生成树、多层交换、组播、OSPF、GP、MPLS等;
  5. 精通网络安全技术:包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等;
  6. 熟悉Linux操作系统架构和工作原理,精通LINUX/UNIX、Windows操作系统的安装、配置和升级;
  7. 具备CCNP证书或同等水平者优先考虑。

薪资待遇:

20k-40k

渗透测试工程师

职位描述:

  1. 负责公司安全体系的建设及推行;
  2. 负责制定并推动落实公司的信息安全策略、制度、流程等;
  3. 负责公司内部信息安全类培训及安全知识宣传;
  4. 负责对线上系统安全进行周期性渗透测试。

任职资格:

  1. 本科以上学历(统招);
  2. 具有良好的沟通能力和团队合作精神,良好的职业道德;
  3. 对Web安全整体有较深刻理解,具备Web渗透技能,熟悉渗透测试流程,熟练掌握各类安全测试工具;
  4. 熟悉安卓APP安全测试方法,包括接口测试和android组件测试等;
  5. 熟悉源代码安全审计,熟悉PHP、JAVA代码
  6. 掌握Python开发语言,能编写相应的安全工具;
  7. 熟悉各种攻防技术以及安全漏洞原理,有过独立分析漏洞的经验。

薪资待遇:

15k-30k

简历投递邮箱pengxing@oppo.com(投递简历主题请注明:姓名+应聘岗位,注明招聘信息来自MottoIN)

OPPO真诚期待你的加入!

 

*转载请注明来自MottoIN


黑客技术官网地址:http://www.hackdig.com/

阅读更多内容

发帖者 时间:

没有评论:

发表评论

订阅: 博文评论 (Atom)