恶意文件名称:
HavanaCrypt
威胁类型:
勒索病毒
简单描述:
HavanaCrypt 勒索软件伪装成 Google 的更新应用程序进行分发,欺骗受害者下载安装 payload,并使用 Microsoft 网络托管服务 IP 地址作为其 C2 服务器来绕过安全检测。
恶意文件分析
恶意文件描述
近期,深信服深盾终端实验室在运营工作中发现,一款名为 HavanaCrypt、高隐蔽的勒索软件分发形式出现,该勒索软件伪装成 Google 的更新应用程序进行分发,诱使受害者下载安装 payload,并使用 Microsoft 网络托管服务 IP 地址作为其 C2 服务器躲避安全检测。该勒索软件在其文件加密进程中使用了QueueUserWorkItem 函数以及 KeePass Password Safe 的模块,其中 QueueUserWorkItem 函数将一个加密进程排队等待执行,加速加密过程,KeePass Password Safe 为一个开源密码管理器。
恶意文件分析
病毒的整个功能模块如下图所示:
查看文件是否加壳或混淆,发现该恶意程序基于 .net 编译开发,并使用了 Obfuscar 混淆技术,其中 Obfuscar 是一个开源的 .net 混淆器,使得程序难以阅读和理解,增加逆向分析的困难。
借助 de4dot 和 deObfuscar 等开源反混淆器解除混淆后继续分析。
1、程序执行前期工作
(1)首先程序会使用参数设置为 0 的 ShowWindow 函数来隐藏程序执行窗口,使得程序的执行“悄无声息”。
(2)查询注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下是否有 GoogleUpdate 值,如果存在,则通过 QueueUserWorkItem 函数来将加密进程排队等待执行,加速加密过程。
2、防御规避技术
该样本分为四个步骤检测虚拟化技术,来判断程序是否处于虚拟化环境中,如果处于虚拟化环境,则立即终止感染进程,此外还通过在方法前面添加DebuggerStepThroughs 属性来达到反调试的作用。最大限度避免在虚拟机/沙箱中动态分析,增加分析人员分析的困难。
(1)反沙箱/反虚拟化
判断样本运行的环境中是否存在一些与虚拟化技术相关服务。
判断样本运行所处环境中的文件系统是否存在与虚拟化技术相关文件。
判断样本运行所处环境中是否存在与虚拟化技术相关的可执行文件。
(2)反调试技术
该样本通过在方法前面添加 DebuggerStepThrough 属性,在调试目标代码的时候会自动“步过”该方法,而无法“步入”,从而不能调试该方法中的其他函数。不过如果想要分析该方法中函数,只需删除 DebuggerStepThrough 属性即可。
3、感染技术
(1)判断完程序处于非虚拟化环境中后,样本开始真正运行,首先样本从 Microsoft 网络托管服务 IP 地址 http://20[.]227[.]128[.33]/[2.txt] (该网址目前已不可访问)下载恶意文件,文件保存至 %ProgramData% 目录下,文件后缀为 .bat 格式,文件命名为 20-25 随机字符串,同时设置为隐藏属性。
根据网址下载 2.txt 恶意文件,经过 base64 解码后,内容如下图所示。该恶意样本利用 PowerShell 修改 Windows 防火墙的安全策略,关闭 Windows 防火墙/本地操作系统控件提供的保护措施。
(2)然后该样本还会终止系统中一些正在运行的进程,包括 SQL Server、MySQL 等与数据库相关的进程,以及与桌面 APP 相关的一些程序。
(3)该样本继续枚举所有可用磁盘驱动器,使用 cmd /c指令执行删除卷影、修改卷影的最大存储空间量为无限制,调整存储空间量的大小可能会导致卷影副本消失,继而再次达到删除卷影的作用。
(4)Systemstore 中存储着提供禁用和启用监视、列出可用还原点以及在本地系统上启动还原点的方法,该样本使用 WMI 类查看系统还原点并通过 SRRemoveRestorePoint 删除系统还原点。避免受害者通过系统还原点恢复数据。
(5)样本会复制自身至 %ProgramData% 目录下,文件命名为 10- 15 个随机字符,文件后缀为 .exe,同时新文件设为隐藏属性、系统属性。并将自身路径写入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunGoogleUpdate 路径下,实现开机自启动。
(6)该样本还会在 %Startup% 目录下生成 vallo.bat 恶意文件,vallo.bat 文件的功能为禁用任务管理器。
4、服务端进行通信
(1)通过 WMI 类查询 Win32_Processor、Win32_BIOS、Win32_BaseBoard 数据库中系统指纹的信息,并将查询的每个值使用空格进行拼接,最后计算SHA256 的值。
相关值如下:
(2)该样本将收集到的系统指纹信息发送到http://20[.]227[.]128[.]33/ham.php,传输数据的方式采用Get 请求,Havana/1.0 的用户代理。
(3)如果服务端成功接收到数据,则 HavanaCrypt 会收到包括但不限于被加密密钥等信息的响应,HavanaCrypt会使用 HOLAKiiaa##~~@#!2100 对被加密密钥进行解密,解密出的密钥用于后续的加密操作。
5、加密过程
生成密钥
AES CBC 加密算法
在加密阶段,程序会对如下所示目录不进行加密操作。
该样本会避免加密一些系统、服务等的配置文件,以防损害系统的基本正常运行。
在执行加密的过程中,该样本会创建一个名为 foo.txt 的文件,这个文件中记录了所有被加密文件的文件路径。
与其他勒索软件不同的是,在被感染的系统上并未发现缴纳赎金恢复数据的勒索信,推测 HvanaCrypt 可能仍处于开发阶段或仅用于测试,勒索功能不是很完善。
解决方案
1.处置建议
1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。
2. 避免到信誉不明的网站下载应用程序。
3. 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。
4. 定期使用杀毒软件进行全盘扫描,按时升级打补丁。
5. 重要的数据最好双机备份或云备份。
2.深信服解决方案
【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,及时查杀新威胁;
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
原文始发于微信公众号(深信服千里目安全实验室):隐蔽性强!当心穿Google马甲的勒索病毒HavanaCrypt
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论