您好、欢迎来到现金彩票网!
当前位置:2019欢乐棋牌 > 执行例程 >

Jaff 勒索软件分析

发布时间:2019-06-15 20:28 来源:未知 编辑:admin

  Jaff 勒索软件最初于 2017 年春季出现,但它在很大程度上被忽视了,因为当时 WannaCry 是全球新闻机构的头条。从那时起,Jaff 勒索软件潜伏在黑暗中,感染全世界的机器。在 FortiGuard Labs 这篇分析文章中,我们将研究该恶意软件使用的一些常见技术,以及作为勒索软件它是如何感染的。

  与许多勒索软件一样,Jaff 勒索软件通常作为 pdf 附件发送。打开附件后,它会显示一行文档以及一条弹出消息,询问是否要打开嵌入式文件(参见图 1)。

  如果选择打开文件,有趣的事情就开始了。之后,它会启动一个嵌入式文档,其中包含有关如何从文档中移除宏保护的说明(参见图 2)。文档顶部的黄色条带包含 启用内容 按钮,可以执行文档中的任何宏。 当然,我们都知道这个文档包含宏。

  实际上,这个文档包含许多宏(参见图 3),其中只有一个下载了 Jaff 二进制文件。 以下是此变体中的宏列表:

  从编码链接中,我们可以将字母 RRDD 替换为 om,并从每次出现的单词 Nbiyure3 中拆分链接(参见图 5)。

  下载二进制文件后,Jaff 勒索软件开始解密部分恶意软件代码。它使用简单的代码重定向例程作为反分析技巧,延长分析实际恶意代码所需的时间。在代码执行之间,它使用了与恶意软件执行无关的垃圾代码。

  图 6 显示了以随机方式执行的不同代码块。来自这组代码的每次传递都会解密 DWORD 值,然后继续,直到它解密其余的恶意软件。它还显示了解密例程的编号执行方向。

  一旦我们删除了垃圾代码和不相关的块,我们就可以看到只有三个块用于实际的解密。图 7 显示了同一组块,突出显示了用于解密例程的实际相关代码。事实证明,实际的解密程序只是一个简单的 XOR。

  隐藏 API 名称是恶意软件的一种功能,旨在将其隐藏在防病毒扫描程序中。它有助于规避基于恶意软件使用的已知 API 的组合进行检测。隐藏 API 有不同的方法,一些恶意软件使用加密,一些使用散列。Jaff 使用后者。下面是解析 API 所需的步骤。

  最初,它通过解析 PEB(进程环境块)结构来查找 kernel32.dll 字符串。它计算在 PEB 中找到的每个模块名称的哈希值,并将其与 kernel32.dll 的哈希值进行比较。匹配后,它会抓取 kernel32.dll 的位置,并以类似的方式开始解析其余所需的 API。

  在解析了所有需要的 API 之后,Jaff 执行了进程挖空。 这是一种恶意功能,它不是删除另一个可执行文件并执行它,而是用新的可执行代码覆盖内存中的部分原始代码。

  正如我们目前所见 ; 解密,代码重定向,API 解析和进程挖空只是旨在隐藏实际恶意二进制文件的加壳代码的一部分。执行完所有这些代码后,恶意软件现在已准备好显示其真实性质。

  有趣的是,使用加壳技术可以基本上只需升级壳代码,而无需升级恶意可执行文件。通过这种方式,可以快速部署新版本的恶意软件,避免之前使用的检测参数。

  恶意软件的资源部分包含密钥块。它还包含加密的扩展名列表,下载 URL 链接和勒索信息(参见图 8)。

  密钥块是在其中一个资源中找到的 260 字节密钥。它用于解密该部分内不同资源的内容。

  图 9 显示了获取资源的代码的快照,包含密钥块的资源和 260 字节密钥。

  其中一个资源包含解密的扩展名列表。 图 10 显示了恶意软件将尝试搜索和加密的文件的的扩展名列表(加 / 解密形式)(另请参见图 11)。

  Jaff 的赎金票据以三种不同的格式存储 ; html,text 和图像(bmp)。 text 和 html 版本位于资源部分,bmp 版本也使用相同的文本生成。 图 12 显示了加密和解密形式的赎金票据的 html 版本,以及其在资源部分的位置。

  图 13 显示了图片形式的赎金票据样本。解密 ID 是动态生成的并添加到图像中。在 Jaff 勒索软件的这个特定变体中,此图片被设置为感染后的桌面壁纸。

  在所有复杂的代码包装和初始化之后,加密文件的主要恶意载荷是最简单的例程。

  为了加密文件,Jaff 搜索给定目录中的文件,然后检查列表中是否找到了文件的扩展名(参见图 11)。 接下来,它使用 .jaff 扩展名重命名该文件并将其打开以进行加密。然后,它调用 CryptEncrypt API 来加密文件(参见图 14)。

  在对所有可能的文件进行加密后,恶意软件会在给定目录中释放赎金票据的 ReadMe.bmp,ReadMe.html 和 ReadMe.txt 版本。

  影响勒索软件普及的因素之一是它何时被释放。 Jaff 几乎与 WannaCry 同时被释放,从而在瞬间杀死了它的明星梦想。 或许,它选择在那一刻故意释放,就是为了增加其感染的隐身性。

  无论哪种方式,我们都应该始终为任何恶意软件或勒索软件做好准备,同时保持我们的防御定期更新。

http://nicolashsiung.com/zhixinglicheng/8.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有