新型Anatova惡意軟件的示例分析

這篇文章將為大家詳細(xì)講解有關(guān)新型Anatova惡意軟件的示例分析，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

之前發(fā)現(xiàn)了一種新型的勒索軟件家族-Anatova。Anatova發(fā)現(xiàn)于一個(gè)私人的點(diǎn)對(duì)點(diǎn)（p2p）網(wǎng)絡(luò)中，目前我們已經(jīng)確?？蛻?hù)得到了有效的安全保護(hù)，并打算在這篇文章中公開(kāi)我們的研究成果。

考慮到Anatova是以模塊化擴(kuò)展的形式開(kāi)發(fā)的，因此我們認(rèn)為它將會(huì)發(fā)展成為非常嚴(yán)重的安全威脅。

除此之外，它還會(huì)檢查目標(biāo)設(shè)備是否連接了網(wǎng)絡(luò)共享，并加密所有的共享文件。根據(jù)我們的分析，Anatova背后的開(kāi)發(fā)者技術(shù)水平非常高，因?yàn)槲覀儾蹲降降拿恳粋€(gè)樣本都擁有唯一的密鑰和不同的功能，這在勒索軟件領(lǐng)域中很少見(jiàn)。

分析樣本hash：

170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0

Anatova的主要目的是加密目標(biāo)設(shè)備上的所有文件，并向目標(biāo)用戶(hù)勒索數(shù)據(jù)贖金。

Anatova概述

Anatova一般會(huì)使用游戲或者常見(jiàn)應(yīng)用的圖標(biāo)來(lái)欺騙用戶(hù)下載惡意軟件，然后請(qǐng)求獲取管理員權(quán)限：

Anatova勒索軟件是一款64位應(yīng)用程序，編譯日期為2019年1月1日。我們的樣本文件大小為307kb，但具體會(huì)根據(jù)樣本使用的資源發(fā)生變化。如果我們移除所有資源，Anatova的大小僅為32kb。對(duì)于一款擁有如此強(qiáng)大機(jī)制的勒索軟件來(lái)說(shuō)，這個(gè)體積確實(shí)非常小。

Anatova還擁有強(qiáng)大的保護(hù)機(jī)制來(lái)對(duì)抗靜態(tài)分析：

1、 大多數(shù)字符串都使用了Unicode或ASCII進(jìn)行加密，使用了不同的解密密鑰，數(shù)據(jù)全部嵌入在可執(zhí)行文件中。

2、 90%都是動(dòng)態(tài)調(diào)用，只使用了常見(jiàn)Windows API的標(biāo)準(zhǔn)庫(kù)（C語(yǔ)言）：GetModuleHandleW、LoadLibraryW、GetProcAddress、ExitProcess和MessageBoxA。

3、 當(dāng)我們?cè)贗DA Pro中查看代碼并對(duì)功能函數(shù)進(jìn)行分析時(shí)，IDA Pro一直報(bào)錯(cuò)，我們不確定這是IDA Pro的Bug還是惡意軟件開(kāi)發(fā)者有意而為之的。

V1.0亮點(diǎn)

因?yàn)檫@是一款新型的勒索軟件，所以我們暫且將其歸為v1.0版本。

惡意軟件首先會(huì)獲取“kernel32.dll”來(lái)作為模塊處理庫(kù)，并使用函數(shù)“GetProcAddress”來(lái)從處理庫(kù)中獲取29個(gè)功能函數(shù)。

如果惡意軟件無(wú)法獲取kernel32模塊處理庫(kù)，而且也無(wú)法獲取其他的功能函數(shù)，它將會(huì)退出執(zhí)行。

接下來(lái)，惡意軟件會(huì)嘗試使用硬編碼名稱(chēng)（6a8c9937zFIwHPZ309UZMZYVnwScPB2pR2MEx5SY7B1xgbruoO）來(lái)創(chuàng)建原語(yǔ)，但不同樣本中的原語(yǔ)名稱(chēng)也不同。創(chuàng)建完成并獲取到處理庫(kù)后，它會(huì)調(diào)用“GetLastError”函數(shù)，并判斷最后一條錯(cuò)誤信息是否為ERROR_ALREADY_EXISTS或ERROR_ACCESS_DENIED。這兩條錯(cuò)誤信息指的是“之前的原語(yǔ)對(duì)象實(shí)例已存在”。如果出現(xiàn)這樣的情況，惡意軟件會(huì)清空內(nèi)存，我們之后會(huì)詳細(xì)介紹這部分。

通過(guò)這項(xiàng)檢測(cè)后，Anatoa會(huì)使用相同的機(jī)制從“advapi32.dll”、“Crypt32.dll”和“Shell32.dll”庫(kù)中獲取某些功能函數(shù)。所有的文本都經(jīng)過(guò)了加密處理，并且挨個(gè)進(jìn)行解密，然后獲取函數(shù)，釋放內(nèi)存，然后處理下一個(gè)請(qǐng)求。

如果無(wú)法獲取到必要模塊或函數(shù)，它將會(huì)運(yùn)行清理工具并退出運(yùn)行。

有意思的是，Anatoa還會(huì)獲取已登陸/活動(dòng)用戶(hù)的用戶(hù)名并搜索比對(duì)一個(gè)加密用戶(hù)名列表：

LaViruleratesterTesteranalystAnalystlabLabMalwareMalware

很明顯這是一種躲避虛擬機(jī)和沙盒的方法。

接下來(lái)，Anatova還會(huì)檢測(cè)目標(biāo)系統(tǒng)的語(yǔ)言，即系統(tǒng)使用的區(qū)域語(yǔ)言選項(xiàng)，這樣是為了確保用戶(hù)無(wú)法通過(guò)屏蔽某種語(yǔ)言來(lái)繞過(guò)文件加密。

下面的國(guó)家不會(huì)受到Anatova的影響：

所有獨(dú)聯(lián)體國(guó)家敘利亞埃及摩洛哥伊拉克印度

獨(dú)聯(lián)體國(guó)家被排除在攻擊名單外的情況很常見(jiàn)，這也表明攻擊者很有可能來(lái)自于其中的一個(gè)國(guó)家。但是，有多個(gè)國(guó)家被排除在外就有些奇怪了。

語(yǔ)言檢測(cè)完成后，Anatova會(huì)尋找一個(gè)標(biāo)記（該標(biāo)記在所有樣本中的值都為0），如果這個(gè)標(biāo)記值變成了1，它將會(huì)加載兩個(gè)DLL文件：“extra1.dll”和“extra2.dll”。這也表明，Anatova是以模塊化的形式開(kāi)發(fā)的，并且將來(lái)會(huì)實(shí)現(xiàn)更多的功能擴(kuò)展。

接下來(lái)，Anatova會(huì)使用加密API來(lái)生成RSA密鑰對(duì)。它會(huì)使用加密API“CryptGenRandom”（Salsa20算法）來(lái)創(chuàng)建一個(gè)32位的隨機(jī)密鑰以及一個(gè)8字節(jié)值。文件加密過(guò)程中，它還會(huì)解碼樣本中的主RSA公鑰：

用于實(shí)現(xiàn)文件加密功能的部分代碼如下：

下面給出的是Anatova顯示給目標(biāo)用戶(hù)的勒索信息：

文件加密完成后，Anatova還會(huì)刪除目標(biāo)設(shè)備上的卷硬拷貝，跟其他勒索軟件一樣，這里Anatova同樣會(huì)使用vssadmin程序：

所有的操作步驟都完成后，勒索軟件會(huì)進(jìn)入代碼清潔流程，也就是清除內(nèi)存中的代碼以防止用戶(hù)創(chuàng)建解密工具。

入侵威脅指標(biāo)IoC

樣本使用了下列攻擊技術(shù)：

1、 通過(guò)API執(zhí)行；

2、 應(yīng)用進(jìn)程發(fā)現(xiàn)；

3、 文件和目錄發(fā)現(xiàn)：搜索文件進(jìn)行加密；

4、 加密文件；

5、 進(jìn)程發(fā)現(xiàn)：枚舉終端設(shè)備上的所有進(jìn)程，并終止特定進(jìn)程；

6、 創(chuàng)建文件；

7、 權(quán)限提升；

哈希：

2a0da563f5b88c4d630aefbcd212a35e366770ebfd096b69e5017a3e33577a949d844d5480eec1715b18e3f6472618aa61139db0bbe4937cd1afc0b818049891596ebe227dcd03863e0a740b6c605924

關(guān)于“新型Anatova惡意軟件的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。