勒索软件之Royal勒索软件分析与检测

逆向病毒分析 1年前 (2023) admin
379 0 0

    近期我在整理和学习2022-2023年期间国内外发生的高频勒索攻击案例,发现Royal勒索软件在国内成功勒索用户的比重比较大,所以今天想对此进行一下分析,并找到检测它的方法,以及探索对未知勒索软件的检测。





勒索样本分析


    我更关注于在行为方向的检测,所以针对这个样本,经过分析感觉整体代码逻辑普通,并没有太多的技巧或者独特方式。但不得不深思的是勒索软件的核心是加密数据并实现快速的传播,某个样本单体的简单反而在分析聚合方面不容易从告警中捞取出来,越是借助复杂攻击技术的勒索软件反而越好检测,当然该样本行为特征处用了最通常的方式也容易检测,不知道为何该样本在国内大面积成功进行了勒索。


这个样本的代码逻辑如下:


1. 首先是通过命令行参数选择功能

勒索软件之Royal勒索软件分析与检测


2. 如果命令行参数过关了则删除卷影副本

勒索软件之Royal勒索软件分析与检测


3. 本地文件加密

该部分通过创建线程的方式实现加密,嵌入RSA公钥到文件本身,更改被加密文件后缀为.royal_w 后缀。

勒索软件之Royal勒索软件分析与检测
勒索软件之Royal勒索软件分析与检测
勒索软件之Royal勒索软件分析与检测


4. 共享文件加密

通过分析可以发现勒索软件大多通过GetIpAddrTable 检索目标机器的不同 IP 地址,在获得域控凭证的基础上可以利用wmic/psexec等快速的实现横向移动完成勒索,该样本对遍历得到的 IP 地址尝试使用 SMB 协议进行访问,从而加密共享文件。

勒索软件之Royal勒索软件分析与检测
勒索软件之Royal勒索软件分析与检测


5. 创建线程写入勒索信 

我们可以看到该样本通过创建线程实现加密,同时也通过创建线程实现勒索信的写入

勒索软件之Royal勒索软件分析与检测


勒索信内容

勒索软件之Royal勒索软件分析与检测


    整体这个样本的逻辑就是这样,没有什么很神秘的地方,当然这只是整体勒索攻击中对于勒索样本的分析,勒索攻击也不仅仅是勒索样本。





勒索检测方法


    我分析恶意攻击、恶意样本,都是为了做反APT检测,下面是能检测这个样本的方法:


    在行为检测方面只需要监控vssadmin.exe delete shadows /all /quiet这一句命令行即可提前阻断勒索,如果这个样本使用了命令行欺骗技术,以当前网上流行的代码来看只需要在vssadmin.exe退出的时候检测命令行即可。(企业普通用户电脑应该很难有这个操作出现,误报这块宁报不漏,to c用户可以结合数据量看是否增加黑白鉴定)。


引申一下卷影删除的技巧

1.借助wmi也可以实现卷影删除,

  wmic shadowcopy delete /nointeractive


2.借助vssadmin调整大小

  vssadmin resize shadowstorage /for=/on=/maxsize=


3.powershell

 Get-WmiObject Win32_ShadowCopy| % { $_.Delete() } 2.Get-WmiObject Win32_ShadowCopy| Remove-WmiObject


4.vssadmin.exe实现的卷影删除实际上是借助一个com接口实现的删除(它使用VSSCoordinatorCOM类与IVssCoordinator接口来向VSS服务发出删除请求),如果该样本是基于该com接口而非vssadmin.exe实现删除卷影则得多考虑相关的hook检测,这种手法目前市面勒索软件用的很少,而在该处的去做hook检测反而是最通用的,但是又得考虑另外一个问题,被解hook或者绕过hook了怎么办? 被解hook有没有可能需要定时扫描有没有被解hook,如果对方是利用漏洞提权去杀死edr怎么办, RunasPPL安全研究员都找到方法绕过,更何况流行这么多年的杀死EDR驱动回调,和近几年的禁用ETW,更何况github这样的代码一堆。所以是不是得提前检测到漏洞攻击?不得不看到EDR在这里的检测必须是提前的且是环环相扣的。我看了一些零信任的演讲、书本、开源代码,不得不想到零信任火热的当下,零信任方案又带着EDR,那一个钓鱼邮件过去下发一个勒索软件可以检测吗?是不是检测到了才能说设备不可信,才能阻止数据访问。进行了一波举一反三,可能有说的不对,我们可以一起再讨论。


5.volsnap.sys提供了最终的卷影删除的能力,有能力拦截这块的ioctl就整一个吊方案吧。


静态已知检测方面,可以通过比较md5,内嵌的RSA公钥或者勒索信内容或者其他字符串特征实现检测阻止。



    现在的很多勒索软件一些行为是明牌,所以我们需要重点关注这些行为侧,而这也只是针对勒索软件的检测,勒索攻击中勒索软件只是其中一环,我们在做好勒索软件检测的同时也更应该深入研究勒索攻击,尤其是未知勒索软件的攻击,现在开源勒索代码泛滥下谁还不会开发个勒索软件呢


推荐阅读:


APT分析之Sandworm勒索攻击模拟、推演、分析


如何训练自己的“安全大模型”


勒索软件之Royal勒索软件分析与检测


扫码关注

微信号|HiluSmile

推特|Xiaoliang Liu

(@flame36987044)

原文始发于微信公众号(xiaoliangliu):勒索软件之Royal勒索软件分析与检测

版权声明:admin 发表于 2023年6月6日 上午9:10。
转载请注明:勒索软件之Royal勒索软件分析与检测 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...