人妻饥渴偷公乱中文字幕,最近免费中文字幕大全免费版视频,中文在线字幕免费观看电视剧,熟妇的味道HD中文字幕,亚洲精品字幕在线观看,日本乱偷中文字幕,中文字幕日韩人妻在线视频,亚洲中文字幕在线观看,中文字幕精品久久久久人妻红杏1,中文字幕在线观看,中文字幕一区二区人妻电影,中文字幕乱妇无码AV在线,人妻少妇被猛烈进入中文字幕,中文字幕在线播放

imageportofolio

感染型勒索軟件?Azov分析報(bào)告

2022-11-28 952

 

 20221127

 

感染型勒索軟件 Azov分析報(bào)告

緊急程度:★★★★☆

影響平臺(tái):Windows

 

尊敬的用戶:

您好 

Azov 勒索軟件家族最早出現(xiàn)在今年10月中旬,該家族在知名病毒分析平臺(tái)上顯示,每日仍有大量新增,樣本總量在短短一個(gè)多月時(shí)間內(nèi)達(dá)到了上萬(wàn)份,這還不包括未發(fā)現(xiàn)樣本和無(wú)法啟動(dòng)的感染樣本。
 

image.png 


        當(dāng)前該家族通過(guò)盜版軟件、激活工具和捆綁流氓軟件分發(fā)與勒索相關(guān)的數(shù)據(jù)擦除器。也有消息報(bào)道稱,近期 Azov 軟件已和 SmokeLoader 僵尸網(wǎng)絡(luò)合作,依靠龐大的SmokeLoader 僵尸網(wǎng)絡(luò)分發(fā)數(shù)據(jù)擦除器。

Azov 勒索會(huì)對(duì)非exe、dll、iniazov類型文件進(jìn)行破壞,還會(huì)感染本地exe程序,這些被感染的程序也能夠執(zhí)行與母體相同的功能。雖然軟件會(huì)留下勒索信,讓受害者聯(lián)系作者以恢復(fù)被破壞的文件。事實(shí)上,即使受害者聯(lián)系作者也是無(wú)法進(jìn)行恢復(fù)的,因?yàn)楸黄茐牡奈募械臄?shù)據(jù)與原來(lái)數(shù)據(jù)是無(wú)任何關(guān)系的,破壞過(guò)程并不涉及到加密操作。

 

攻擊流程

image.png 


病毒詳細(xì)分析

 

該樣本使用FASM編譯。

image.png 

 

其本體經(jīng)過(guò)大量混淆加密。

image.png 

 

自身使用循環(huán)Xor解密Shellcode。

image.png 

 

解密第一層后,出現(xiàn)該程序用于搜索和加密文件所需的各類函數(shù)以及Shellcode本體,但該本體仍處于部分被加密狀態(tài),需運(yùn)行后解密。

image.png 

 

該樣本注冊(cè)勒索互斥體Local\azov

image.png 

 

動(dòng)態(tài)獲取所需函數(shù),并將其存入數(shù)組中。

image.png 

image.png 

 

主程序開啟多線程,每條線程從A-Z遍歷獲取每個(gè)磁盤驅(qū)動(dòng)器類型。驅(qū)動(dòng)器需滿足DRIVE_REMOVABLEDRIVE_FIXED、DRIVE_REMOTE類型才會(huì)進(jìn)行下一步操作。

image.png 

 

獲取磁盤信息,判斷是否可讀可寫。

image.png 

 

磁盤滿足條件后,創(chuàng)建與磁盤對(duì)應(yīng)互斥體,如Local\Kasimir_C 、 Local\Kasimir_E。

image.png 

 

搜索和遍歷磁盤文件。

image.png 

 

擦除數(shù)據(jù)白名單
 

ü  不擦除以下路徑中的文件數(shù)據(jù):

WindowsProgramDatacache\entriesLow\Conten.IE5User Data\Default\CacheDocuments and SettingsAll Users 

image.png 

 

ü  不擦除以下擴(kuò)展名文件中的數(shù)據(jù):

.ini

.dll

.exe

.azov

RESTORE_FILES.txt(勒索信)

image.png 

 

感染X64 exe文件

ü  首先,確認(rèn)是否為exe文件:

image.png 

 

ü  解析定位PE文件結(jié)構(gòu)。

image.png 

image.png 

 

ü  文件感染前后變化,感染后的程序可以實(shí)現(xiàn)母體對(duì)應(yīng)功能,但不是每一個(gè)被感染的程序都能正常運(yùn)行。

image.png 

 

破壞文件

 

ü  根據(jù)文件大小破壞文件結(jié)構(gòu),每666字節(jié)間隔寫入自定義數(shù)據(jù),該自定義數(shù)據(jù)與文件本身并無(wú)關(guān)系。當(dāng)數(shù)據(jù)寫入完成后,文件再無(wú)恢復(fù)可能。

image.png 

 

ü  修改文件后綴。

image.png 

 

ü  被破壞的文件結(jié)構(gòu)對(duì)比,左邊是破壞后的文件,右邊為原始文件。

image.png 

 

釋放勒索信

ü  勒索信釋放代碼。

image.png 

 

亞信安全產(chǎn)品解決方案

 

ü  亞信安全病毒碼版本17.957.60,云病毒碼版本17.957.71,全球碼版本17.957.00 已經(jīng)可以檢測(cè)該勒索病毒,請(qǐng)用戶及時(shí)升級(jí)病毒碼版本。

image.png 

 

ü  亞信安全OSCE 行為監(jiān)控可有效攔截該樣本的惡意行為。

image.png 

 

ü  亞信安全DDAN沙盒平臺(tái)可以有效檢測(cè)出該家族樣本的行為。

image.png 

image.png 

 

ü  亞信安全DDAN沙盒可對(duì)被感染文件檢測(cè)。

image.png 

 

安全建議

 

ü  請(qǐng)到正規(guī)網(wǎng)站下載安裝程序。

ü  盡量不要使用盜版軟件或盜版軟件激活工具。

ü  不要點(diǎn)擊來(lái)源不明的郵件、附件以及郵件中包含的鏈接。

ü  請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則,即至少做三個(gè)副本,用兩種不同格式保存,并將副本放在異地存儲(chǔ)。

 

IOCs

 

3f858d2837529e6c973ffa7c26c643e9748e7282

06f213336a50e8564bf24246f5d7971fdc21a9cb

0ae13cab4139a56708f48830f18c2ff1d763efda

0d06ee595404de3264da3c71f489392b64fa1e2e

0daaddbd5e25c88534652819cd8ae3d75955faf3

0e0bc8e7cb0526046493d88dfe8922f47bb320bf

0e2ddcbea4abefc3f28641d43609fb2000c62d25

107692789d688eede43064c44b6a07958cbc3edd

1645278d2f87598b92fc3bf51e35d4e745e41b74