返回
nanolocker勒索软件的逆向分析_计算机软件及应用_it计

nanolocker勒索软件的逆向分析_计算机软件及应用_it计

ID:16339336

大小:2.08 MB

页数:9页

时间:2018-08-09

nanolocker勒索软件的逆向分析_计算机软件及应用_it计_第1页
nanolocker勒索软件的逆向分析_计算机软件及应用_it计_第2页
nanolocker勒索软件的逆向分析_计算机软件及应用_it计_第3页
nanolocker勒索软件的逆向分析_计算机软件及应用_it计_第4页
nanolocker勒索软件的逆向分析_计算机软件及应用_it计_第5页
资源描述:

《nanolocker勒索软件的逆向分析_计算机软件及应用_it计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、http://www.freebuf.com/articles/network/94595.htmlNanoLocker勒索软件的逆向分析FireFrank2016-01-28+8共116995人围观,发现1个不明物体网络安全我最近有机会碰到了一个以前没见过的勒索软件的变体,它的名字是”NanoLocker”。这个勒索软件和赛门铁克以前发布的分析文章中阐述的勒索软件不同,它很不寻常。鉴于这一事实,我决定逆向几个样品,了解一下它是怎么工作的。分析详情会在之后进行展示,但是在进行详细分析之前,我需要先建立一个解密工具来解密这个勒索软件的加密文件,这些加密文件都是在

2、特定情况下进行工作的。我们需要的先决条件如下。注意样本我使用了两个不同版本的NanoLocker作为样本进行测试分析:Version1.27–MD5:c1cf7ce9cfa337b22ccc4061383a70f6 Version1.29–MD5:fce023be1fb28b656e419c5c817deb73概述NanoLocker采取了和其他常见勒索软件类似方法。这个恶意软件利用WindowsCryptAPI进行常规加密。密码设计一般都是可靠的文件使用生成的256位AES密钥进行加密,但是AES密码初始化使用默认(null)IV完成。使用后,这个AES密钥

3、先进行弱混淆,然后使用一个RSA公钥对其进行加密,这个公钥是从base64字符串硬编码导入到binary中的。更新的加密密钥最后进行base64加密,显示给用户,这样可以在比特币交易时通过公共消息把它传给恶意软件作者。我们将把最后的这个base64加密密钥成为MK。这款勒索软件主要的设计缺陷类似于早期的TeslaCrypt/AlphaCrypt-AES密钥被写在了磁盘的某个文件中,并且这个密钥直到加密完成一直保持不变。这样做的意义是,即使加密过程中存在中断(休眠、断电等),这种对称加密密钥已经被留在了磁盘上,它还是可以使用的。我利用这种缺陷写了一个解密工具并提

4、供给受害者一种解密方法,但是受害者需要捕捉到了NanoLocker加密时的密钥文件的副本或者在加密过程终端时从磁盘中获取了密钥文件。执行细节状态跟踪NanoLocker在磁盘中创建了一个文件用于追踪它的状态、密钥信息和文件目标列表。分析样本中的这个文件名为%LOCALAPPDATA%lansrv.ini,并且这个文件被创建成隐藏属性。该文件的第一个字节被用来保存一个整数-表示当前的执行状态。随着恶意软件各种功能的进展,状态追踪值增加。追踪字节有三种可能的状态:·初始化和枚举-对称密码已经被创建并以明文格式[44bytes]储存在起始偏移0×02的追踪文件中。

5、所有本地映射的驱动被列举给了匹配目标和扩展的文件名,这些文件名都被写入了追踪文件。·加密-一旦到检测到状态成为应有状态,追踪文件中列出的文件就开始加密。·加密完成-所有的目标文件都已经被加密了。一旦到达了状态3,原始对称密钥都会被比特币付款地址和MK替换。此时,NanoLocker把初始屏幕显示给了用户。在初始化过程中,生成AES密钥,密钥被写入文件切状态为状态1,如下面来自解包binary的伪代码所示:一旦进入状态2,直到所有被发现的文件都被加密,跟踪文件(lansrv.ini)持有了导出的密钥数据,这些数据在上面的调用中被写入了WriteFile。此时捕获

6、的追踪文件会揭示状态标志、密钥数据和目标文件的列表:最后,一旦目标文件都已经被加密,追踪文件中的状态变为3.此时密钥数据会被跟着base64加密和被对称密钥加密的公钥(MK)的比特币交易地址替换:通信勒索软件威胁的一个共同之处就在于通过网络向控制命令服务器的攻击者传输密钥内容。NanoLocker也是如此,它需要一个简单的方法进行网络通信-它只向C2服务器外发出2个ICMP包。一旦恶意软件在内存中解压,它就会开始一些初始化步骤(丢弃自身副本到磁盘,设置一个持久化机制等)。下一步是提交一个ping到控制服务器中。这些ping包可能在乍一看是典型的回送请求数据包,

7、但是下面的代码显示,还发送了其他信息:正如我们上面看到的,调用IcmpSendEcho使用勒索及带有回显请求的软件比特币地址作为数据进行提交。我们可以看出如果我们捕获正在从受感染的系统中发出的数据包的动作:一旦加密过程完成,进入状态3,第二个ICMP包被NanoLocker发出。这个包和第一个相同,使用了ICMP消息的数据字节发送比特币地址,在状态2时增加文件总数。解密工具如上所述,如果追踪文件在状态1或者状态2被捕捉到(通过加密过程中断或其他方式),对称密钥可以被提取并应用于解密已经被加密的任何文件。对于大多数独立的Windows系统,在状态1或状态2捕捉这

8、个追踪文件操作基本不可行。这是一种简单

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。