GandCrabV2.0勒索病毒分析

逆向病毒分析 2年前 (2023) admin
680 0 0

GandCrabV2.0勒索病毒分析

本文为看雪论坛优秀文章

看雪论坛作者ID:Sin hx




原始样本分析


首先对原本样本hmieuy.exe查壳,没有发现壳。
GandCrabV2.0勒索病毒分析
再使用pe工具查看原始样本:
GandCrabV2.0勒索病毒分析
GandCrabV2.0勒索病毒分析
发现EnumResourceNamesA、FindFirstFIleA、MoveFileW、GetProcAddress等函数,同时原本资源节中还含有内容;初步猜测样本可能会搜索资源节中数据并进行某种操作。


1.1 代码分析


IDA打开原始样本hmieuy.exe分析,在wWinMain函数函数入口发现代码混淆:
GandCrabV2.0勒索病毒分析
寻找关键点,发现分配堆空间函数GlobalAlloc函数的调用,并且分配的起始地址为StarAddress:
GandCrabV2.0勒索病毒分析
向下分析发现样本使用EnumResourceNamesA函数来枚举hmieuy.exe中的资源并将资源节中的内容,也就是shellcode复制到刚刚申请的堆空间中:
GandCrabV2.0勒索病毒分析
继续向下分析,发现在复制完shellcode之后,样本通过使用VirtualProtect函数将申请的堆空间提升为可执行状态;并且在调用shellcode之前(StarAddress())调用了sub_401014函数:
GandCrabV2.0勒索病毒分析
跟进sub_401014函数分析发现了大量的逻辑指令,推测该函数为解密函数,将复制到堆空间的shellcode进行解密:
GandCrabV2.0勒索病毒分析
在IDA中确定刚才分析的关键函数的地址,在OD中下断动态调试分析:
在调用sub_401014解密函数之前,shellcode已经被复制到堆空间中:
GandCrabV2.0勒索病毒分析
调用解密函数之后:
GandCrabV2.0勒索病毒分析
将解密后的shellcode dump下来重命名为shellcode.txt,dump所需大小在pe工具已知为000181B8。





Shellcode分析


Shellcode存在部分反调试技术,但是通过Windows Shellcode开发还是可以推测恶意代码行为。IDA中静态分析shellcode.txt:
GandCrabV2.0勒索病毒分析跟进 sub_2F449A函数分析:
GandCrabV2.0勒索病毒分析
GandCrabV2.0勒索病毒分析
GandCrabV2.0勒索病毒分析该函数同之前写过的Windows Shellcode开发[3](https://blog.csdn.net/weixin_41487541/article/details/123727560?spm=1001.2014.3001.5501)几乎一致:通过PTE结构下的关键字段定位kernel32.dll,根据PE结构遍历kernel32.dll导出表获取GetProcAddress、LoadLibrary函数。 

跟进sub_2F3C9C函数分析,可知sub_2F3C9C函数获取其他API函数的地址:
GandCrabV2.0勒索病毒分析
在获取其他API结束后,再次申请空间并将数据解密:
GandCrabV2.0勒索病毒分析
将解密后的PE文件加载到内存中:
GandCrabV2.0勒索病毒分析
对于加密后的PE文件,不需要再像之前一样获取kernel32.dll基址及API地址,PE文件中包含导入表,只需修复即可:
GandCrabV2.0勒索病毒分析
OD中查看解密后的PE文件部分:
GandCrabV2.0勒索病毒分析
将此时的PE文件数据dump下名为为PE1.exe。在上面的过程中PE文件并没有在磁盘“落地”,可以避免杀毒软件的文件检测。





反射式DLL注入分析


反射式DLL注入不同于普通的DLL注入关键点是:不再使用LoadLibrary函数完成DLL装载,而是通过使用ReflectiveLoader来实现装载自身。如此一来便避免了文件“落地”,同时它没有通过LoadLibrary等API来完成DLL的装载,DLL并没有在操作系统中”注册”自己,因此更容易通过杀软的行为检测。https://bbs.pediy.com/thread-224143.htm,这里描述了反射式DLL注入的原理和实现。

分析PE1.exe发现病毒通过ReflectiveLoader函数装载解密出的恶意代码,将含有恶意功能的dll数据到自身进程,实现dll不落地即可执行其功能躲避杀软查杀。

经过上面的分析,病毒文件在加载并执行shellcode是会使用VirtualProtect函数来改变页面执行状态。所在在OD中分析PE1.exe时在VirtualProtect函数处下断分析,可知在0x0040114c对分配的内存空间(0x004120c0处为起始地址)执行权限进行修改;将此时的内存dump下来命名为PE2.dll,在0x00401156处PE1.exe释放PE2.dll:
GandCrabV2.0勒索病毒分析
在shellcode分析中,原始样本在将shellcode加载到内存后还存在一个解密过程;这里也是一样,我们已知分配的内存起始地址为0x004120c0,并且该区域内存放的是一个PE(dll)文件,OD中在0x004120c0处设置硬件写入断点后重新运行查找解密DLL的部分,发现下图中选中部分即为解密DLL部分:
GandCrabV2.0勒索病毒分析
随后进行查找ReflectiveLoader函数、修改内存保护属性为可读可写可执行。之后即进行dll文件的IAT修复、重定位等反射式注入操作。





PE2.dll分析


分析至此也就到了病毒的主体部分:毒螃蟹自身。

病毒主要动作可分为三个部分:初始化部分、网络部分和文件加密部分。


4.1 初始化部分


在DllEntryPoint中创建一个新线程来执行代码,主线程会挂起:
GandCrabV2.0勒索病毒分析新线程起始地址为函数sub_10004B20,跟进sub_10004B20函数(新线程)分析: 
GandCrabV2.0勒索病毒分析

 (1) GetInfo_CreateMutex部分: 

在GetInfo_CreateMutex函数中获取系统信息,如:主机名、用户名、处理器类型、IP地址和系统语言等。
GandCrabV2.0勒索病毒分析
GandCrabV2.0勒索病毒分析
随后通过系统信息来命名创建互斥体,若互斥体名存在则结束进程,防止多开:
GandCrabV2.0勒索病毒分析
之后病毒创建线程,起始地址为Find_Antivirus,跟进该函数分析。

(2) Find_Antivirus部分:
GandCrabV2.0勒索病毒分析
GandCrabV2.0勒索病毒分析

病毒首先单独寻找kl1.sys驱动,对于kl1.sys谷歌的描述:

正版kl1.sys文件是Kaspersky Lab的Kaspersky Anti-Virus的软件组件。Kaspersky Antivirus 的网络驱动程序,此文件允许您的操作系统与网络硬件进行通信,并使防病毒软件能够监控恶意软件的流量。Kaspersky Antivirus 最初于 2006 年发布,因其在检测和消除间谍软件、病毒和其他恶意程序方面的成功率而赢得了无数奖项和赞誉。(https://www.file.net/process/kl1.sys.html

所以可知病毒这是在查找杀毒软件。

除了卡巴斯基驱动,病毒还会寻找其他杀软驱动:
GandCrabV2.0勒索病毒分析
检测杀软之后,病毒将自身释放到系统目录并设置开机自启动:
GandCrabV2.0勒索病毒分析

(3) Enum_TerminateEXE部分: 

由于是勒索软件,需要将需加密的程序结束,以防文件被占用无法加密,跟进Enum_TerminateEXE函数:
GandCrabV2.0勒索病毒分析
GandCrabV2.0勒索病毒分析可知病毒匹配并终止图1中进程以便加密。

(4) CSP_Generate_RSA部分:

CSP,全名“加密服务提供者(Cryptographic Service Provider)”, 是微软定义的一套密码服务API,主要存在于Advapi32.dll中,利用CSP可以非常方便的实现AES、RSA、MD5、SHA1等常用加密算法。

病毒使用了CSP容器来进行加解密,主要分为以下几个部分:

① 创建CSP容器

连接CSP,获得指定CSP的密钥容器的句柄:
GandCrabV2.0勒索病毒分析

② 生成密钥

生成密钥有两种方式,CryptGenKey(生成随机密钥)和CryptImportKey(导入密钥),病毒使用了CryptGenKey方式。
GandCrabV2.0勒索病毒分析

③ 导出密钥
GandCrabV2.0勒索病毒分析
OD中跟踪查看导出的公钥数据:
GandCrabV2.0勒索病毒分析
OD中跟踪查看导出的私钥数据:
GandCrabV2.0勒索病毒分析

初始化部分分析至此,接下来分析网络部分。


4.2 网络部分 


(1) 遍历杀软进程
GandCrabV2.0勒索病毒分析
填充勒索信息:
GandCrabV2.0勒索病毒分析
 GandCrabV2.0勒索病毒分析

(2) 生成请求包字符串

病毒检查杀软后,会将之前生成的RSA公私钥通过CryptBinaryToStringA转换为base64编码,之后将编码结果加入到要发送的GET请求字符串中:
GandCrabV2.0勒索病毒分析GandCrabV2.0勒索病毒分析OD中跟踪查看密钥加密后的数据:
GandCrabV2.0勒索病毒分析
病毒会将搜索到的各种系统信息和公私钥信息整合在一起,加上协议包头部等信息发送到服务器:
GandCrabV2.0勒索病毒分析
准备完成后伪装成火狐浏览器进行网络链接: GandCrabV2.0勒索病毒分析

(3) 通过管道创建nslookup.exe子进程
GandCrabV2.0勒索病毒分析
管道通信:
管道是一种用于在进程间共享数据的机制,其实质是一段共享内存,病毒利用了管道进行父子进程的通信,这样子进程就可以直接影响父进程内存。GandCrabV2.0勒索病毒分析
为实现父子进程间通信,需要对子进程的管道进行重定向:创建子进程函数 CreateProcess中有一个参数STARUIINFO,默认情况下子进程的输入输出管道是标准输入输出流。
GandCrabV2.0勒索病毒分析OD中查看CreateProcessW的lpCommandLine参数:
GandCrabV2.0勒索病毒分析
nslookup politiaromana.bit ns1.virmach.ru;从su后缀猜测为俄罗斯黑客。

(4) HTTP协议发送信息

信息发送是通过HTTP协议进行的:
GandCrabV2.0勒索病毒分析
如果出现网络连接错误或者服务器异常,则代码会进入循环,直到找到可用的服务器为止;然后重新查询客户端IP,再次运行nslookup,解析IP地址。
GandCrabV2.0勒索病毒分析
0x10004C3F处判断HTTP请求检查是否成功,只有成功时才会跳出右侧循环。

4.3 加密部分

已知病毒使用了RSA算法,但病毒加密前还会对特殊文件、文件路径和后缀进行过滤处理。

(1) 创建加密线程

过滤磁盘,只对固定磁盘和网络磁盘加密,且每个磁盘创建一个线程:
0 DRIVE_UNKNOWN 未知的磁盘类型
1 DRIVE_NO_ROOT_DIR 说明lpRootPathName是无效的
2 DRIVE_REMOVABLE 可移动磁盘
3 DRIVE_FIXED 固定磁盘
4 DRIVE_REMOTE 网络磁盘
5DRIVE_CDROM 光驱
6 DRIVE_RAMDISK 为RAM
GandCrabV2.0勒索病毒分析

(2) 过滤文件和路径 

如果病毒处于以下文件路径时,会过滤并跳过,防止关键目录被加密系统无法运行:
关键目录:
ProgramData
IETldCache
Boot
Program Files
Tor Browser(洋葱浏览器)
Ransomware
All Users
Local Settings
Windows
其它系统特殊文件夹(SHGetSpecialFolderPathW查找,如C:Program Files)
跳过指定文件:
.sql
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat .log
thumbs.db
GDCB-DECRYPT.txt

(3) 文件加密分析


CSP加密基本函数:

① CryptImportKey将密钥从BLOB转换到CSP中。

② CryptGetKeyParam获取密钥的一些参数。
GandCrabV2.0勒索病毒分析
③ CryptEncrypt加密文件。
GandCrabV2.0勒索病毒分析





总结


这是我分析的第二个病毒样本,还是花了一段时间的。对于自己的分析下来之后做一些总结:
1. 样本在分析时候,尤其是原始样本分析时带出表和代码中的API函数很少,以此怀疑会释放shellcode或PE文件;
2. 抓住代码执行流程,不要过于抠细节,知道莫个函数的功能就可;
3. 内存中释放的文件要及时dump下来。



GandCrabV2.0勒索病毒分析


看雪ID:Sin hx

https://bbs.kanxue.com/user-home-935444.htm

*本文由看雪论坛 Sin hx 原创,转载请注明来自看雪社区

GandCrabV2.0勒索病毒分析

# 往期推荐

1.CVE-2022-21882提权漏洞学习笔记

2.wibu证书 – 初探

3.win10 1909逆向之APIC中断和实验

4.EMET下EAF机制分析以及模拟实现

5.sql注入学习分享

6.V8 Array.prototype.concat函数出现过的issues和他们的POC们


GandCrabV2.0勒索病毒分析


GandCrabV2.0勒索病毒分析

球分享

GandCrabV2.0勒索病毒分析

球点赞

GandCrabV2.0勒索病毒分析

球在看


GandCrabV2.0勒索病毒分析

点击“阅读原文”,了解更多!

原文始发于微信公众号(看雪学苑):GandCrabV2.0勒索病毒分析

版权声明:admin 发表于 2023年1月7日 下午6:00。
转载请注明:GandCrabV2.0勒索病毒分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...