NEWS
公司新闻 安全播报 公司专题

勒索病毒分析 | 通过钓鱼邮件传播的Sodinokibi勒索病毒,是怎么“玩”的?

来源: 时间:2019-05-29 00:00:00 作者:  浏览:208 次

日前,安恒APT预警平台监控到了名为Sodinokibi的新型勒索病毒。经安恒安全研究院分析人员分析,发现该病毒通过钓鱼邮件进行传播,利用伪装邮件主题、文件名称、文件图标等带有迷惑性的内容诱导用户进行点击。主要攻击方向包括商贸、科技、机关等公司或单位的人员。


Sodinokibi勒索病毒如何传播的?让明御APT攻击(网络战)预警平台来给大家来捋一捋。


勒索病毒传播方式


安恒APT预警平台检测到一个邮件,邮件主题包括“您侵犯了该公司的版权”、“包裹派送延迟”等描述;邮件附件包括“原始图像.zip”、“包裹派送延迟.zip”等压缩文件。



一般情况下,遇到这些与我们生活息息相关的邮件,大家都会不假思索的去下载压缩包。那么解压之后会发生什么?


答案是,当你将压缩文件解压之后,可以得到lnk文件、以及伪装为word文档的exe文件。Lnk文件也指向exe文件,文件名称带有欺骗性。



如果大家选择运行程序,那么电脑上的文件将会被感染,包括非系统运行环境路径外的所有非PE文件,并将文件后缀修改为随机变化的后缀名。




明御APT攻击(网络战)预警平台监测分析


来看明御APT攻击(网络战)预警平台是如何分析Sodinokibi的新型勒索病毒。


上文介绍到,压缩包中包含两个伪装的exe文件,实为相同的exe程序,故任选一个进行分析即可。


(1)例如,选择文件.doc.exe程序进行分析。该勒索者程序加了一层保护壳,包含数量庞大的混淆代码,以及两层代码解密,第一次层代码解密后解密出另一端解密代码。



该层解密代码的功能是解密出勒索者本体exe程序。


正在解密出勒索者本体exe程序的代码


(2)解密出勒索者本体exe程序后,修改原程序代码块内容,将原程序代码修改为勒索者本体exe代码,并跳转到勒索者主体exe代码入口点进行执行,将勒索者主体运行起来。



该勒索者会加密所有非系统运行环境路径的所有非PE文件,并将文件后缀修改为随即变化的后缀名,如本次后缀为biy11y。


随后,删除全盘所有卷影副本。



进一步修改桌面背景,并会有随即后缀-readme.txt勒索者提示。



(3)根据readme.txt的提示访问攻击者给出的解密方案网站:



输入key和后缀,得到如下所示勒索界面:



进入界面后,可以看到该勒索者提示:如不在规定时间内支付则价格翻倍,交易方式为BTC,当前需支付价格约为1150USD,并给出了BTC地址和购买方式。




防护措施


新型的勒索病毒层出不穷,其来源广泛、伪装方式多样,给企业和个人带来的损失不可计数,如何能高效对抗勒索病毒成为迫在眉睫的问题。


面对来势汹汹的勒索病毒,如果仅靠企业或个人的力量,力不从心。我们需要从2个角度加强防护:


(1)借助高效的工具:使用安恒明御APT攻击(网络战)预警平台,及时发现潜在威胁;


(2)积极培养网络安全意识:不轻易打开未知来源的邮件及附件,不随意点击未知链接,不随意打开未经验证可靠来源的文档。



明御APT攻击(网络战)预警平台


明御APT攻击(网络战)预警平台(简称DAS-APT)是安恒信息自主研发的针对网络流量进行深度分析的一款产品。该平台基于丰富的特征库、全面的检测策略、智能的机器学习、高效的沙箱动态分析、海量的威胁情报,能实时发现网络攻击行为,特别是新型网络攻击行为,帮助用户发现网络中发生的各种已知威胁和未知威胁,检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件!


1.支持全流量分析,网络威胁一网打尽;

2.全面的检测策略,应对各种场景的攻击行为,集静态检测技术和动态分析技术于一身;

3.网络流量实时监控,建立紧急事件报警机制,迅速反应,及时发现攻击;

4.云端大数据分析,基于机器学习和深度挖掘等技术,实时共享最新安全威胁情报,快速预警新型恶意威胁。


APT


“APT(Advanced Persistent Threat)——高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性的网络攻击的攻击形式。APT攻击通常由具备国家背景或组织背景的黑客团体发起,他们组织严密、目标明确、手段高超、危害巨大,每一次APT攻击事件的损失是巨大的,影响是深远的。”

杭州安恒信息技术股份有限公司 版权所有 © 2007-2018 浙ICP备09102757号 浙公网安备33010802003444号 | 法律声明 | 隐私保护 |