【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

admin 2022年10月1日02:08:00评论85 views字数 2307阅读7分41秒阅读模式
【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


恶意家族名称:

Babuk

威胁类型:

勒索病毒

简单描述:

经安全专家分析发现,近期发现的勒索病毒样本加密组件与 Babuk   源码非常相似,合理推测该勒索病毒是通过Babuk公开的源代码二次开发生成的。


恶意文件分析

【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

1.恶意文件描述

2021年9月,Babuk勒索软件的完整源代码被泄露,虽然公开源码的攻击者声称是为了改过自新,但当时业内人员曾担忧公开源码这一举动容易拉低勒索团伙犯罪成本,从而出现了更多的勒索病毒变种,导致用户终端面临更加严峻的勒索威胁。


近期,深盾终端实验室捕获的一个病毒样本,让一年前的担忧一语成谶。此次发现的勒索病毒样本经安全专家分析发现该病毒的加密组件与Babuk源码非常相似,合理推测该勒索病毒是通过Babuk公开的源代码二次开发生成的。


2021年9月《除了加密勒索,完整源码泄露的Babuk勒索还有哪些特征?》中对Babuk勒索软件特点和入侵手法进行了分析。

【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

2.恶意文件分析

(一)新变种差异点


本次发现的勒索病毒变种与前期公开的源代码有以下几点差异,综合分析,推测是一个新的勒索团伙通过对Babuk勒索病毒公开的源代码加入团队特征生成新变种加入勒索舞台。


1.保护程序 mamamio.exe


对比原始的Babuk勒索团伙,此次进行二次开发的勒索团伙新增了一个保护程序,用于监控加密程序被查杀或终止时重新拉起,加大入侵终端后加密勒索的成功率。


2.加密文件后缀名改为 .polis


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


3.文件加密标识改为 ”yap yap....”,用于后续用户交付赎金后,解密工具识别文件是否需要进行解密。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


4.对加密文件及文件夹白名单进行新增更新,对系统文件和识别已加密的文件避开加密,避免加密系统文件导致用户无法查看勒索信息提交赎金,也防止同一文件被重复加密。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


(二)病毒分析


经过分析,该病毒包含 mamamio.exe、mendal.exe 两个组件,其中 mamamio.exe 为保护进程程序,会监控mendal.exe 的运行状态,mendal.exe 是加密组件。mendal.exe加有强壳,脱壳后对其分析发现该病毒的代码与已公开的Babuk的大部分源码基本相同。


1.保护程序 mamamio.exe


在 Temp 目录下写入并执行 def.bat 文件,这是一个批处理文件,包括关闭 windows defender、开启远程桌面等作用。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

然后,继续在Temp目录下写入为了清除 Windows eventlog 日志的 log.bat 并执行。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


写入 mendal.exe 程序。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


保护进程会不断监控 mendal.exe 进程,监控到mendal.exe 被退出会重启拉起该进程。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


2.加密组件mendal.exe


该勒索病毒加了强壳,存在大量虚拟化指令阻碍安全人员对病毒进行分析。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


为保证加密顺利进行,该病毒内置有一张服务名称表,在遍历系统服务时会比较服务名称,如果在服务名称表内则停止服务。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


为了保证文件加密时不被进程占用,病毒内置了一张进程名称表,在遍历进程时会比较进程名称,如果在进程名称表内则关闭该进程。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


删除系统卷影,防止恢复文件。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


开启多条线程对文件进行加密。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


对"A"到"Z"磁盘进行遍历。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

 

遍历本地文件过程中在每个文件夹下写入 Restore.txt 勒索信。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


病毒内置一张白名单,如果文件或文件夹在该名单内则跳过不加密。并且病毒还会根据文件后缀名进行过滤,如果文件后缀为 .exe、.sys、.dll、.polis 则不加密。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


枚举网络共享资源并加密。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


获取到文件之后,针对每个文件随机生成 32 字节的密钥,并使用椭圆曲线保护密钥。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


根据文件大小进行分块加密,如果大于 0x1400000 字节则分成10块进行加密,如果大于 0x500000 并且小于0x1400000 字节则分成 3 块进行加密。否则如果大于 0x40 个字节且小于 0x500000,取文件前面的十分之一进行加密。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯


使用 HC-128 算法对文件内容进行加密。

【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

解决方案

【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

处置建议

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复,及时更新终端防护产品版本和病毒库版本。

【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

2.深信服解决方案

【深信服终端安全管理系统EDR】基于勒索病毒入侵攻击链提供4层勒索入侵预防,6级勒索反加密防护,5项勒索检测与响应机制,从事前防御-事中响应-事后溯源三个方面为终端构建全面的勒索防护体系,轻松抵御勒索入侵。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

【深信服勒索理赔服务】深信服与专业保险机构联合推出针对勒索病毒的理赔服务,为客户快速解决勒索赎金损失,尽快恢复数据和业务,降低勒索的影响和业务。

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。


【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

原文始发于微信公众号(深信服千里目安全实验室):【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日02:08:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【勒索防护】对抗强度大幅提升,Babuk勒索病毒新版本重装来犯http://cn-sec.com/archives/1327589.html

发表评论

匿名网友 填写信息