一月初发现了一种新的针对性的勒索软件,称为SNAKE或EKANS。恶意软件是用Go语言编写的,并且经过大量混淆,并遵循ICS环境。 Snake 勒索软件似乎是通过有针对性的活动分发的,该活动专门针对目标企业网络-它使用AES和RSA进行加密。感染后,相关文件将被加密数据覆盖。每个修改后的文件还标有字符串“埃坎斯文件末尾的“”。
恶意软件会检查内部系统名称和公共IP地址的硬编码,在本例中,它与Honda Company有关。如果未解决对属于本田的内部域的DNS查询,它将立即退出。
技术分析:
该文件是MS Windows的PE32可执行文件,其“ .symtab”部分的导入次数较少,表示该文件已写入&用Go语言编译。
Various strings are found which confirms that the binary is用Go语言编译。 Below is the Go build Id.
该恶意软件开始请求DNS解析为“ 本田网站”。本田最近遭到其技术系统的勒索软件网络攻击。因此,该示例似乎是用来破坏本田网站的示例。
恶意软件解决了“本田网站”到关联的IP地址,其中还包含对美国IP地址的引用 170.108.71.15,解决为‘unspec170108.amerhonda.com‘主机名。如果DNS解析失败,则该恶意软件将中止其执行。
当恶意软件发现域名已解析后,它将通过向netsh.exe(网络工具)发送命令来更改防火墙设置。传递的命令是:
“ Netsh advfirewall设置所有配置文件防火墙策略阻止入站,阻止出站”.
该命令将使用Windows防火墙功能阻止所有与输入和输出规则不匹配的配置文件的所有传入和传出连接。
恶意软件使用以下算法解密在恶意软件执行期间使用的所有字符串,但是,每个加密数据使用不同的XOR密钥。
下面的解密循环解密RSA公钥,该公钥将用于加密用于加密文件的每个AES密钥。
下文给出了反编译算法的代码。
恶意软件会检查是否存在名为“ 埃坎斯”的互斥锁。如果存在,勒索软件将停止执行,并且不会感染系统。否则,将创建互斥锁,并且感染会继续前进。
它包含一个硬编码的进程和服务列表,以恶意软件的加密字符串形式出现。如果受害者系统中正在运行任何服务,勒索软件将停止该服务。另外,如果系统中有任何进程在运行,它将使用TerminateProcess()函数终止进程。下面给出了一些进程名称。
恶意软件将删除系统上找到的所有“卷影复制”备份。恶意软件会从加密中跳过文件的某些扩展名。下面提到其中一些:
.sys .mui .tmp .lnk .config .tlb .olb .blf .ico .manifest .bat .cmd .ps1等
下面提到的某些扩展已被恶意软件解密,尽管加密时未使用这些扩展。
蛇的加密过程是对称加密和非对称加密的组合,其中包括AES-256和RSA-2048。需要对称密钥才能对文件进行加密和解密。此对称密钥使用攻击者的公共密钥加密。只有使用攻击者的私钥才能解密。因此,这使得解密对于安全厂商来说是困难的或不可能的。
恶意软件使用AES CTR模式通过0x20字节的随机密钥和0x10字节的随机IV加密文件。 RSA公钥已硬编码在文件中。加密后,恶意软件会在末尾附加“ 埃坎斯”标记。 埃坎斯与SNAKE相反。
加密所有文件后,恶意软件会重命名每个加密文件。它将随机的5个字符的字符串附加到文件中’的扩展名。扩展是勒索软件,因此很难通过扩展来识别勒索软件。下图显示了蛇勒索软件对文件的重命名。
结论
勒索软件也已成为个人用户和企业的永久威胁。一旦加密了任何文件,就很难解密数据。鉴于任何勒索软件可能对您的数据造成的破坏程度,您必须遵循以下建议的安全措施。
- 使用可以阻止实时威胁的多层防病毒软件。
- 保持最新的防病毒功能。
- 每天都会发布关键补丁定期更新您的操作系统。
- 保持您的软件最新。
- 切勿将远程系统直接连接到Internet。
- 请勿单击来自未知来源的电子邮件中的链接或下载附件。
- 进行常规数据备份并将其保留在安全的位置。
- 审核网关系统&检查配置是否错误。
序列产品配备了多层检测技术,例如IDS / IPS,DNA扫描,电子邮件扫描,BDS,Web保护和获得专利的反勒索软件检测。这种多层安全方法可帮助我们有效地保护客户免受此类勒索软件和其他已知未知威胁的侵害。
妥协指标
d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
没意见