如何進行WastedLocker技術(shù)細節(jié)分析

如何進行WastedLocker技術(shù)細節(jié)分析，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

寫在前面的話

網(wǎng)絡(luò)犯罪分子在具有針對性的攻擊活動中使用勒索軟件，已經(jīng)成為了一種很常見的現(xiàn)象了。每個月都會出現(xiàn)新的勒索軟件攻擊事件，有的時候甚至?xí)宇l繁。在今年的上半年，WastedLocker勒索軟件的活動日趨頻繁，我們在這篇文章中，將對一個WastedLocker勒索軟件樣本進行詳細的技術(shù)分析。

命令行參數(shù)

需要注意的是，WastedLocker擁有一個命令行接口，它支持處理多個由攻擊者控制的參數(shù)，而這些參數(shù)將控制WastedLocker的行為。

-p <directory-path>

優(yōu)先處理：該參數(shù)用于指定勒索軟件首先需要加密的目錄，然后會將其添加到內(nèi)部排除列表之中，以避免進行重復(fù)加密。接下來，勒索軟件將會加密可用驅(qū)動器中剩余的目錄及文件。

-f <directory-path>

該參數(shù)用于指定需要加密的目錄。

-u username:password \\hostname

該參數(shù)可以指定使用認證憑據(jù)來對網(wǎng)絡(luò)資源文件進行加密。

-r

該參數(shù)可以執(zhí)行下列行為：

1、刪除源文件。

2、使用注冊表鍵“SYSTEM\CurrentControlSet\Control\”中子鍵列表中的隨機子字符串來將文件拷貝至“%WINDIR%\system32\<rand>.exe”。

3、創(chuàng)建一個服務(wù)，服務(wù)名稱跟第二步選取方法類似。如果服務(wù)名已存在，則會添加一個“Ms”前綴。比如說，如果“Power”服務(wù)已存在，惡意軟件將會創(chuàng)建一個名為“MsPower”的新服務(wù)。新服務(wù)的命令行接口將會被設(shè)置為“%WINDIR%\system32\<rand>.exe -s”。

4、開啟這個服務(wù)，并等待其完成任務(wù)。

5、刪除該服務(wù)。

-s

開啟已創(chuàng)建的服務(wù)，并對惡意軟件查找到的所有符合條件的文件進行加密處理。

UAC繞過

WastedLocker另一個有意思的功能是它用于實現(xiàn)UAC繞過所使用的方法。當(dāng)木馬開始運行之后，它會檢測運行的完整性等級。如果這個等級不夠高，惡意軟件將會嘗試在后臺悄悄地使用已知的繞過技術(shù)來提升其權(quán)限。

首先，惡意軟件會在“%appdata%”下創(chuàng)建一個新目錄，目錄名選自注冊表鍵“SYSTEM\CurrentControlSet\Control\”中子鍵列表中的隨機子字符串。接下來，根據(jù)系統(tǒng)目錄中的數(shù)據(jù)，在這個新目錄中創(chuàng)建一個隨機的EXE或DLL文件，然后將木馬程序?qū)懭胫罭TFS流“:bin”中。

此時，惡意軟件會創(chuàng)建一個臨時目錄，通過API函數(shù)NtFsControlFile和參數(shù)“IO_REPARSE_TAG_MOUNT_POINT”來加載該目錄并指向”C:\Windows“。接下來，它會在這個臨時目錄中創(chuàng)建一個名為“system32”的子目錄，此時這個子目錄的路徑就變成了“%temp%\<directory_name>\system32”或“C:\Windows \system32”了。

接下來，將合法的winsat.exe和winmm.dll拷貝到這個子目錄中，使用第二步中創(chuàng)建的NTFS流以及惡意代碼來替換winmm.dll的入口點代碼，啟動winsat.exe，并觸發(fā)winmm.dll修改以實現(xiàn)DLL劫持。

下圖顯示的是WastedLocker啟動過程中的Procmon日志片段：

加密方案

為了加密目標(biāo)設(shè)備中的文件，WastedLocker的開發(fā)人員使用了一種AES和RSA算法結(jié)合的加密方案，這種技術(shù)也跟很多勒索軟件常用的方式有所不同。惡意軟件的搜索掩碼可以選擇待加密的文件，以及惡意軟件配置中設(shè)置的需要忽略的路徑。下圖顯示的是勒索軟件配置中需要忽略的路徑子字符串：

針對每一個待處理文件，WastedLocker將生成一個唯一的256位密鑰和一個126位IV，惡意軟件將使用這兩個參數(shù)以及AES-256算法（CBC模式）對文件內(nèi)容進行加密。文件操作的實現(xiàn)是值得我們分析的，因為它使用了文件映射技術(shù)來實現(xiàn)數(shù)據(jù)訪問。在這里，惡意軟件開發(fā)者必須要盡最大努力嘗試提升勒索軟件躲避安全解決方案的能力，而每一個被加密的文件都將追加一個“.garminwasted”后綴。

除此之外，勒索軟件還在加密程序中實現(xiàn)了文件完整性控制機制。惡意軟件將會計算原始文件的MD5哈希，這個哈希將用在解密程序中以確保解密的正確性。

在這里，WastedLocker使用了一個RSA算法中公開可用的引用實現(xiàn)，即“rsaref”。

原始文件的AES密鑰、IV、MD5哈希以及其他的一些信息都將使用一個嵌入在勒索軟件內(nèi)部的RSA公鑰進行加密。下面的樣本中包含了一個4096位RSA公鑰：

需要注意的是，這種類型的加密機制針對所有的目標(biāo)用戶都使用了同一個RSA公鑰，這對于WastedLocker的大規(guī)模傳播來說是一個弱點。此時，如果一個用戶獲取到了解密工具，那么其中包含的RSA私鑰將允許其他所有的用戶解密自己的文件。

但是我們可以看到，WastedLocker主要針對的是特定的組織，因此這種解密方法在實際的攻擊場景中并不適用。

RSA加密的結(jié)果將是Base64編碼數(shù)據(jù)，并且會存儲在一個后綴為“.garminwasted_info”的新文件中。

下圖顯示的是我們測試設(shè)備中被加密的文件列表：

下圖顯示的是勒索軟件在目標(biāo)設(shè)備上留下的勒索信息：

安全緩解措施

• 安裝最新更新補丁，使用最新版本的操作系統(tǒng)和應(yīng)用程序版本。

• 除非有必要，請不要在互聯(lián)網(wǎng)上開啟RDP訪問，優(yōu)先選擇使用VPN遠程訪問保護。

• 使用現(xiàn)代終端安全解決方案，這些解決方案需要支持行為檢測、自動文件回滾和其他勒索軟件防護技術(shù)。

• 加強組織內(nèi)部的網(wǎng)絡(luò)安全教育，將網(wǎng)絡(luò)安全方面的專業(yè)知識與最佳實踐教育技術(shù)和技術(shù)相結(jié)合。

• 使用可靠的數(shù)據(jù)備份方案。

看完上述內(nèi)容，你們掌握如何進行WastedLocker技術(shù)細節(jié)分析的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！