春节刚过,在安全领域关于GlobeImposter勒索软件的各种消息甚嚣尘上,勒索软件被公认为是未来网络安全的最大威胁之一。近期,卡巴斯基实验室分享了GlobeImposter勒索软件变种过程以及GlobeImposter勒索软件如何对抗安全厂商传统技术的详细分析。 GlobeImposter勒索软件变种过程: GlobeImposter最早2016年12月就已出现, 比如 dd5dab06218a89880a9a92a4c8fd350e44c7064f5191b50af54e7a82b118aa4c 在2016年12月12日被发送至Virus Total分析 后经过演化,在2017年中GlobeImposter的传播速度开始迅速增长。在2017年第二季度已经进入勒索软件攻击总量排名前十位: 到了2017年第三季度,GlobeImposter更是上升到了勒索软件攻击总量排名的第三位: GlobeImposter 增速迅猛的一个重要原因是从16年下半年开始使用服务端多态混淆技术(或称为恶意软件私壳)。利用代码混淆,病毒作者可以片刻间为木马生成大量变体,这些变体间代码甚至图标都各不相同,可以躲避基于文件图标、文件哈希和文件代码特征的安全软件的静态检测。 GlobeImposter的外壳代码会在入口附近布置垃圾API序列,对抗基于静态API序列和导入表哈希的检测技术 入口附近的垃圾API序列 除对抗静态分析技术外,GlobeImposter的外壳代码还会利用长循环执行垃圾API尝试使安全厂商模拟器或沙箱因超时而放弃继续分析,从而对抗安全厂商的动态分析系统 长循环代码 废除掉安全软件分析中的各种武功后,外壳代码就可以放心地将勒索软件本体释放运行了。真正的勒索软件及其解压代码被使用加密后放在资源中,加密使用的是TEA加密算法 TEA解密算法片段及解密前后的代码 此时木马本身还处于压缩状态,用于压缩的算法为LZO。解密后的代码会将它解压并加载运行 作为加密文件型勒索软件,GlobeImposter运行后的主要工作就是加密文件。由于可执行文件也是GlobeImposter的加密目标,为防止系统瘫痪以及触发安全软件防御规则,GlobeImposter会避开一些目录名,不加密其中的文件,此外对于某些扩展名的文件它也不会加密 免责声明:本网站内容由网友自行在页面发布,上传者应自行负责所上传内容涉及的法律责任,本网站对内容真实性、版权等概不负责,亦不承担任何法律责任。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。 |