根据安恒APT云端监控的数据,从今年年初以来勒索病毒攻击呈现快速上升的趋势,且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以js、wsf、vbe等类型为主,隐蔽性极强,对常规依靠特征检测的安全产品是一个极大的挑战。
经过分析,通常该类型病毒的规律如下:
●该类型病毒的目标性强,主要以邮件为传播方式。
●勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,将加密公钥写入到注册表中,遍历本地所 有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。
●该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。
近期,安恒APT云端监控到了一种新型勒索病毒,该类型病毒运行流程复杂,且针对关键数据以加密函数的方式进行隐藏。
以下为APT沙箱分析到样本载体的关键行为:
●调用加密算法库
●通过脚本文件进行Http请求
●通过脚本文件下载文件
●读取远程服务器文件
●通过wscript执行文件
●收集计算机信息
●遍历文件
根据APT沙箱报告捕获到样本的关键行为,包括进程行为、文件行为、网络行为等信息,可以发现其运行分析流程如下:
该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成秘钥,进而实现对指定类型的文件进行加密,即无需联网下载秘钥即可实现对文件加密。
同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。
根据勒索病毒的特点和感染流程,可以推断其变种迅速,通常具备较强的对抗能力,且感染成功后无法恢复,常规的依靠特征匹配的防护手段不再适用,给勒索病毒的防护带来了极大的挑战,从而导致大量的用户被勒索病毒感染造成损失。
根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:
●通过脚本文件进行Http请求
●通过脚本文件下载文件
●读取远程服务器文件
●收集计算机信息
●遍历文件
●调用加密算法库
安恒APT产品通过内置沙箱虚拟执行环境,可以对网络中传输的样本模拟运行分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识 别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警,及时通知被攻击方提高安全防范意识,防止出现被感染的情况。
同时,结合安恒APT云端可为用户提供更为深层的威胁分析服务、安全预警服务和情报共享服务,依托于云端的海量数据、高级的机器学习和大数据分析能力,可及时共享最新的安全威胁情报,提供更为精准的威胁分析能力,用户也可直接访问云端,上传、查询和确认样本的分析结果,感知最新的安全情报。