事件描述
近期,深信服深盾终端实验室在运营过程中发现,一款名为Mallox勒索病毒家族的新变种在客户侧传播,该变种使用复杂的控制流混淆技术修改二进制特征以突破安全软件的静态检测。
此次事件中,攻击者以爆破SqlServer弱密码的方式进入客户系统,进行前期打点,搜集必要信息。随后安装anydesk等远控软件接管客户系统,执行勒索病毒,攻击者进行双重勒索,加密并上传系统文件。加密后缀为.Mallox,释放勒索信如下:
通过查看Mallox的数据泄露网站发现,从今年3月份开始,Mallox勒索团伙开始活跃起来。
技术分析
避免静态分析
为了突破安全软件的静态检测,样本使用了控制流混淆机制对样本进行处理。该混淆通过在指令片段间插入了很多无意义的跳转代码块,这些代码块之间的跳转是通过JMP指令,跳转到事先计算好的地址处。动态调试时,可以通过编写调试器提供的运行时脚本跳过这些混淆代码段。
加密前准备
1. 为防止文件被多次加密,病毒会创建名为89A72EF01的事件对象用于同步。
2. 加载PowrProf.dll模块,通过调用PowerSetActiveScheme函数将电源方案设置为高性能模式。高性能GUID为8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c。
3. 通过OpenProcessToken,AdjustTokenPrivileges系列函数开启进程的SeTakeOwnershipPrivilege,SeDebugPrivilege权限。
4. 创建窗口,通过ShutdownBlockReasonCreate函数设置提醒用户要关闭时的提示语句为 Do NOT shutdown OR reboot your PC: this might damag e your files permanently !试图阻止用户关闭电脑。
5. 打开注册表项,通过设置SOFTWAREMicrosoftPolicyManagerdefaultStartHideShutDown,SOFTWAREMicrosoftPolicyManagerdefaultStartHideRestart,SOFTWAREMicrosoftPolicyManagerdefaultStartHideSignOut删除开始菜单中的关机,重启,注销选项。
6. 打开注册表项,通过设置SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem表项关闭UAC验证。
7. 调用CMD,通过下列命令关闭恢复模式bcdedit /set {current} bootstatuspolicy ignoreallfailures,bcdedit /set {current} recoveryenabled no。
8. 通过vssadmin删除卷影C:Windowssysnativevssadmin.exe delete shadows /all /quiet。
9. 关闭可能会影响加密行为的服务
加密操作
随后开启加密模块。通过GetLogicalDrives获取系统中的所有磁盘信息,再通过FindFirstFile枚举各磁盘中的每个文件,加密使用的是微软Crypt系列函数。
不会加密下面目录中的文件:
不会加密文件名如下的文件:
不会加密包含下面后缀的文件:
IOC
URL
http://91.215.85.142/QWEwqdsvsf/ap.phpHASH
1C459E171A2FB806F4D284B954D221D9参考链接: https://mp.weixin.qq.com/s/fxYSDH9NrcRkE_QFgHVIiw
图片来源网络目标可联系删除
