imageportofolio

感染型勒索軟件 Azov分(fēn)析報告

2022-11-28 641

 

 20221127

 

感染型勒索軟件 Azov分(fēn)析報告

緊急程度:★★★★☆

影響平台:Windows

 

尊敬的用(yòng)戶:

您好 

Azov 勒索軟件家族最早出現在今年10月中(zhōng)旬,該家族在知名(míng)病毒分(fēn)析平台上顯示,每日仍有(yǒu)大量新(xīn)增,樣本總量在短短一個多(duō)月時間内達到了上萬份,這還不包括未發現樣本和無法啓動的感染樣本。
 

image.png 


        當前該家族通過盜版軟件、激活工(gōng)具(jù)和捆綁流氓軟件分(fēn)發與勒索相關的數據擦除器。也有(yǒu)消息報道稱,近期 Azov 軟件已和 SmokeLoader 僵屍網絡合作(zuò),依靠龐大的SmokeLoader 僵屍網絡分(fēn)發數據擦除器。

Azov 勒索會對非exedlliniazov類型文(wén)件進行破壞,還會感染本地exe程序,這些被感染的程序也能(néng)夠執行與母體(tǐ)相同的功能(néng)。雖然軟件會留下勒索信,讓受害者聯系作(zuò)者以恢複被破壞的文(wén)件。事實上,即使受害者聯系作(zuò)者也是無法進行恢複的,因為(wèi)被破壞的文(wén)件中(zhōng)的數據與原來數據是無任何關系的,破壞過程并不涉及到加密操作(zuò)。

 

攻擊流程

image.png 


病毒詳細分(fēn)析

 

該樣本使用(yòng)FASM編譯。

image.png 

 

其本體(tǐ)經過大量混淆加密。

image.png 

 

自身使用(yòng)循環Xor解密Shellcode

image.png 

 

解密第一層後,出現該程序用(yòng)于搜索和加密文(wén)件所需的各類函數以及Shellcode本體(tǐ),但該本體(tǐ)仍處于部分(fēn)被加密狀态,需運行後解密。

image.png 

 

該樣本注冊勒索互斥體(tǐ)Local\azov

image.png 

 

動态獲取所需函數,并将其存入數組中(zhōng)。

image.png 

image.png 

 

主程序開啓多(duō)線(xiàn)程,每條線(xiàn)程從A-Z遍曆獲取每個磁盤驅動器類型。驅動器需滿足DRIVE_REMOVABLEDRIVE_FIXEDDRIVE_REMOTE類型才會進行下一步操作(zuò)。

image.png 

 

獲取磁盤信息,判斷是否可(kě)讀可(kě)寫。

image.png 

 

磁盤滿足條件後,創建與磁盤對應互斥體(tǐ),如Local\Kasimir_C  Local\Kasimir_E

image.png 

 

搜索和遍曆磁盤文(wén)件。

image.png 

 

擦除數據白名(míng)單
 

ü  不擦除以下路徑中(zhōng)的文(wén)件數據:

WindowsProgramDatacache\entriesLow\Conten.IE5User Data\Default\CacheDocuments and SettingsAll Users 

image.png 

 

ü  不擦除以下擴展名(míng)文(wén)件中(zhōng)的數據:

.ini

.dll

.exe

.azov

RESTORE_FILES.txt(勒索信)

image.png 

 

感染X64 exe文(wén)件

ü  首先,确認是否為(wèi)exe文(wén)件:

image.png 

 

ü  解析定位PE文(wén)件結構。

image.png 

image.png 

 

ü  文(wén)件感染前後變化,感染後的程序可(kě)以實現母體(tǐ)對應功能(néng),但不是每一個被感染的程序都能(néng)正常運行。

image.png 

 

破壞文(wén)件

 

ü  根據文(wén)件大小(xiǎo)破壞文(wén)件結構,每666字節間隔寫入自定義數據,該自定義數據與文(wén)件本身并無關系。當數據寫入完成後,文(wén)件再無恢複可(kě)能(néng)。

image.png 

 

ü  修改文(wén)件後綴。

image.png 

 

ü  被破壞的文(wén)件結構對比,左邊是破壞後的文(wén)件,右邊為(wèi)原始文(wén)件。

image.png 

 

釋放勒索信

ü  勒索信釋放代碼。

image.png 

 

亞信安(ān)全産(chǎn)品解決方案

 

ü  亞信安(ān)全病毒碼版本17.957.60,雲病毒碼版本17.957.71,全球碼版本17.957.00 已經可(kě)以檢測該勒索病毒,請用(yòng)戶及時升級病毒碼版本。

image.png 

 

ü  亞信安(ān)全OSCE 行為(wèi)監控可(kě)有(yǒu)效攔截該樣本的惡意行為(wèi)。

image.png 

 

ü  亞信安(ān)全DDAN沙盒平台可(kě)以有(yǒu)效檢測出該家族樣本的行為(wèi)。

image.png 

image.png 

 

ü  亞信安(ān)全DDAN沙盒可(kě)對被感染文(wén)件檢測。

image.png 

 

安(ān)全建議

 

ü  請到正規網站下載安(ān)裝(zhuāng)程序。

ü  盡量不要使用(yòng)盜版軟件或盜版軟件激活工(gōng)具(jù)。

ü  不要點擊來源不明的郵件、附件以及郵件中(zhōng)包含的鏈接。

ü  請注意備份重要文(wén)檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用(yòng)兩種不同格式保存,并将副本放在異地存儲。

 

IOCs

 

3f858d2837529e6c973ffa7c26c643e9748e7282

06f213336a50e8564bf24246f5d7971fdc21a9cb

0ae13cab4139a56708f48830f18c2ff1d763efda

0d06ee595404de3264da3c71f489392b64fa1e2e

0daaddbd5e25c88534652819cd8ae3d75955faf3

0e0bc8e7cb0526046493d88dfe8922f47bb320bf

0e2ddcbea4abefc3f28641d43609fb2000c62d25

107692789d688eede43064c44b6a07958cbc3edd

1645278d2f87598b92fc3bf51e35d4e745e41b74