处事器的神秘来客:XTBL敲诈者木马技术分析 8090安适门户
0x1前言
XTBL敲诈者是一款专门针对Windows处事器的敲诈者木马,最早呈现于2015年,不过其时只在小范畴流传,并未大面积影响国内处事器。但自本年六月起,国内不少处事器开始呈现XTBL敲诈者传染迹象,而且还呈现了多个变种。按照360反病毒中心查询拜访分析,该木马很可能是打击者操作处事器缝隙入侵后直接运行传染的。
图1 搜索引擎返回功效显示“XTBL”敲诈者盛行
处事器传染“XTBL”敲诈者后,处事器中文档,压缩包,图片等文件均遭到加密,并改削文件后缀为“XTBL”,并在文件名中附带黑客的邮箱。图2显示的是一位求助网友的处事器传染“XTBL”敲诈者后的桌面截图。
图2 传染“XTBL”敲诈者木马后桌面截图
0x2 流传途径分析
“XTBL”敲诈者的打击方针主要为Windows处事器。黑客入侵处事器后释放敲诈者木马措施,而敲诈者木马在加密文档的同时枚举网络资源,查找事情组和域内所有共享处事器的共享资源,并对其进行加密,以到达二次流传的效果。比较求助网友的处事器登陆日志以及文档最后改削时间可以发明,处事器传染敲诈者木马之前一段时间曾遭到疑似爆破登陆。
图3 文件最后改削时间
图4 文件加密之前处事器曾遭到疑似爆破登陆
图5 “XTBL”敲诈者文件创建时间
0x3 样天职析
本文以最新捕获的“XTBL”样本为例进行分析。和大部分敲诈者木马相似,“XTBL”敲诈者木马解密数据段的数据,创建本进程另一实例作为“傀儡”进程进行进程替换,以到达运行shellcode的目的。初始进程可能伪装成安置包或其他应用措施,无恶意成果,载入shellcode的“傀儡”进程执行敲诈者木马的主要成果。
图6 “XTBL“敲诈者伪装成安置措施
从Dump出的shellcode可以看出,措施主要由五大成果模块构成。包罗API字符串的解密及地点获取,启动项的添加,删除卷影,发送处事器信息以及加密文件。
图7 五大成果模块
对付API函数字符串的解密,则是取地点0x40D450中存放的常量字符串,偶数位四字节异或0x98765432,奇数位四字节异或0x12345678所得。之后通过得到的API字符串获取相对应的函数地点,构建导入表。
图 解密API字符串
该措施对字符串的解密要领十分讲究,措施中使用的所有字符串包孕RSA公钥都由一串位于地点0x41F900的密文动态解密得到,解密算法有多种,都是基于异或解密的方法,并由一常数控制密文索引起始值。下图显示措施中使用的部分字符串的解密功效。
图9 部分字符串解密功效
对对照灵活的字符串解密方法,措施的自启动方法显得“墨守陈规“,通过设置相存眷册表项以及复制文件到启动目录两种方法添加启动项。
图10 设置相存眷册表项
图11 复制自身到启动目录
在进行加密之前,措施会删除卷影备份。
图12 删除卷影备份
值得一提的是,“XTBL”敲诈者使用管道来通报命令行,这和“Ceber”系列敲诈者使用要领不异,而通过“mode con select=1251”命令行设置MS-DOS显示为西里尔语可能与作者来自俄罗斯有关。
完成以上筹备事情之后,措施孕育产生两组密钥块,此中一组用于本地文件加密,另一组用于网络共享资源文件加密。
温馨提示: 本文由杰米博客推荐,转载请保留链接: https://www.jmwww.net/file/pc/13093.html