找回密码
 立即注册
科技快报网 首页 科技快报 业界资讯 查看内容

病毒变种肆虐,卡巴斯基揭秘GlobeImposter勒索软件如何对抗安全厂商

2018-03-09 10:56:59

春节刚过,在安全领域关于GlobeImposter勒索软件的各种消息甚嚣尘上,勒索软件被公认为是未来网络安全的最大威胁之一。近期,卡巴斯基实验室分享了GlobeImposter勒索软件变种过程以及GlobeImposter勒索软件如何对抗安全厂商传统技术的详细分析。

GlobeImposter勒索软件变种过程:

GlobeImposter最早2016年12月就已出现, 比如

dd5dab06218a89880a9a92a4c8fd350e44c7064f5191b50af54e7a82b118aa4c

在2016年12月12日被发送至Virus Total分析

后经过演化,在2017年中GlobeImposter的传播速度开始迅速增长。在2017年第二季度已经进入勒索软件攻击总量排名前十位:

到了2017年第三季度,GlobeImposter更是上升到了勒索软件攻击总量排名的第三位:

GlobeImposter 增速迅猛的一个重要原因是从16年下半年开始使用服务端多态混淆技术(或称为恶意软件私壳)。利用代码混淆,病毒作者可以片刻间为木马生成大量变体,这些变体间代码甚至图标都各不相同,可以躲避基于文件图标、文件哈希和文件代码特征的安全软件的静态检测。

GlobeImposter的外壳代码会在入口附近布置垃圾API序列,对抗基于静态API序列和导入表哈希的检测技术

入口附近的垃圾API序列

除对抗静态分析技术外,GlobeImposter的外壳代码还会利用长循环执行垃圾API尝试使安全厂商模拟器或沙箱因超时而放弃继续分析,从而对抗安全厂商的动态分析系统

长循环代码

废除掉安全软件分析中的各种武功后,外壳代码就可以放心地将勒索软件本体释放运行了。真正的勒索软件及其解压代码被使用加密后放在资源中,加密使用的是TEA加密算法

TEA解密算法片段及解密前后的代码

此时木马本身还处于压缩状态,用于压缩的算法为LZO。解密后的代码会将它解压并加载运行

作为加密文件型勒索软件,GlobeImposter运行后的主要工作就是加密文件。由于可执行文件也是GlobeImposter的加密目标,为防止系统瘫痪以及触发安全软件防御规则,GlobeImposter会避开一些目录名,不加密其中的文件,此外对于某些扩展名的文件它也不会加密

  免责声明:本网站内容由网友自行在页面发布,上传者应自行负责所上传内容涉及的法律责任,本网站对内容真实性、版权等概不负责,亦不承担任何法律责任。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

发布者:admin

相关阅读

微信公众号
意见反馈 科技快报网微信公众号