找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 19779|回复: 0

[已解决] Sodinoki样本分析报告

[复制链接]

主题

帖子

0

积分

版主

赤豹•泰山个人杀软QQ群:144195035

Rank: 7Rank: 7Rank: 7

积分
0
发表于 2019-6-26 20:58:47 | 显示全部楼层 |阅读模式

样本信息样本名称:Sodinoki
样本家族:Sodinoki
样本类型:勒索
MD5 12befdd8032a552e603fabc5d37bda35
e08d8c6d2914952c25df1cd0da66131b
SHA1: 04a12c70de87894d189be572718a9b781e192a90
96b93642444f087fc299bde75a82aef40d716eb7
文件类型:email, exe
文件大小:456145 bytes, 280576 bytes
传播途径:邮件附件
专杀信息:暂无
影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位操作系统。
样本来源:
发现时间:2019.6.13
入库时间:
C2服务器:暂无
样本概况此次攻击疑似针对国内游戏测评公司任玩堂(www.appgame.com),邮件伪装成DHL货物交付延迟通知,获取受害者信任并诱使打开。
附件为压缩包,内含四个文件,可执行文件的属性设置为隐藏,因此正常用户在默认设置情况下是无法看到可执行程序的存在,只能看到两个快捷方式。在设置显示隐藏文件后能看到所有的相关文件。
样本危害该病毒会恶意加密文件并勒索用户交付赎金但不提供解密方法,如果中了此病毒将会导致文件无法还原和使用进而造成用户经济、财产的损失。
        手工清除方法
        应对措施及建议1). .尽量关闭不必要的端口,如 445、135,139 等,对 3389、5900 等端口可进行白名单配置,只允许白名单内的 IP 连接登陆。
2). 采用高强度的密码,避免使用弱口令密码,并定期更换密码。
3). 安装防毒杀毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。
4). 安装江民赤豹端点全息系统,一键恢复操作系统至加密前任何时间结点,无惧勒索。
5). 对重要文件应及时备份,如果不幸中了勒索病毒,不要轻易支付赎金,因为很多勒索病毒其实并不提供解密功能,支付赎金只会造成更大的经济损失。
6). 不要随意打开执行来路不明的文件。
7). 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
        行为概述        文件行为        进程行为暂无
        注册表行为写入 HKEY_LOCAL_MACHINE\SOFTWARE\recfg
网络行为暂无

  
详细分析报告伪装成Office Word的病毒样本首先解密一段ShellCode,并跳转执行该ShellCode:


ShellCode主要功能为解密核心PayLoad并跳转执行:

核心PayLoad为sodinokibi勒索病毒,动态解密修正137处IAT:

紧接着创建互斥,保证只有一个实例运行:

之后解密配置信息,解密函数如下:

解密的配置信息包括公钥、白名单目录、白名单文件、白名单后缀、域名、要结束的进程等信息:

然后将公钥、加密后的后缀等信息保存到注册表HKEY_LOCAL_MACHINE\SOFTWARE\recfg:

并通过GetKeyboardLayoutList获取键盘布局信息,当遇到下列语言环境时则不进行文件加密:

判断当前进程是否存在配置文件中需要结束的进程,若有则结束该进程

并通过执行CMD命令删除卷影文件防止用户恢复被加密的文件:

并在每个目录下生成勒索相关信息:

最终加密除白名单配置以外的所有文件,将加密后的文件设置为之前保存在注册表中的随机后缀:

最后尝试连接配置文件中的域名,发送受害者计算机基本信息:


总结由于Sodinokibi会通过电子邮件传播,我们建议您不要打开任何未知来源的电子邮件,尤其是不要打开附件。即使附件来自常用联系人,我们也建议您在打开之前,使用杀毒软件对其进行扫描,以确保它不包含任何恶意文档或文件。。
        附录Hash        C&C
新江民人将不忘初心,牢记使命,努力践行社会责任,为国家的网络安全建设保驾护航!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

官方微信| Archiver|手机版|江民论坛

GMT+8, 2019-7-17 06:35 , Processed in 1.078056 second(s), 19 queries .

北京江民新科技术有限公司 版权所有 X3.4

Copyright © 1996- jiangmin.com All Rights Reserved

快速回复 返回顶部 返回列表