trojan.shamoon病毒分析报告-7411威尼斯
2019-01-03 来源:安全播报
病毒名称 : trojan.shamoon 病毒类型: 病毒/后门 m d5 : 63e8259b60299aab5751e3d82ba3d697 785a1c8a78a3e38905078b137c8247ae fdf409a9755a4ac20508d903f2325aec 传播途径: 恶意网页脚本下载,内网传播。
病毒名称: trojan.shamoon
病毒类型: 病毒/后门
md5: 63e8259b60299aab5751e3d82ba3d697
785a1c8a78a3e38905078b137c8247ae
fdf409a9755a4ac20508d903f2325aec
传播途径: 恶意网页脚本下载,内网传播
影响系统: windows xp, windows server 2003,windows vista,windows 7,windows 8, windows10等。
病毒介绍:
2012 年,shamoon 首次被发现对沙特阿拉伯的目标企业展开攻击,其中的受害者,包括石油巨头阿美石油公司(saudi aramco)。在针对阿美石油公司的攻击中,shamoon 清除了超过 3 万台计算机上的数据,并用一张焚烧美国国旗的图片改写了硬盘的主引导记录。
2016年11月,出现新一波针对中东多个目标的磁盘擦除器攻击,此次攻击使用的恶意代码就是臭名昭著的shamoon蠕虫的变种。shamoon 2.0 被发现是用来攻击沙特阿拉伯各种经济部门和核心部门。和以前的变种一样,shamoon 2.0 磁盘擦除器旨在大批量的毁灭被攻击组织内的系统。
2018年12月,再次发现一波针对中东及欧洲南部地区多个目标的攻击,攻击范围涉及到能源公司、政府网站、石油、天然气等。与之前的变种一样,这次发现的shamoon 3.0仍旧采用多种躲避安全软件检测的技术,并且增加安全人员分析的难度和取证的难度。
江民杀毒软件已经全面拦截该病毒,并提醒用户开启文件监控功能。
病毒危害
shamoon是一种与flame等apt类攻击病毒类似的新型病毒,这种病毒的攻击目标是能源企业或能源部门,它能将受感染windows机器中的数据永久删除。执行文件里包含了“wiper”字段。这一字段也曾在flame病毒中出现过。
这种恶意软件会利用jpeg图片中的数据改写主机上的某些文件,导致这些文件失效。然后还会继续改写硬盘上的启动引导记录(mbr)以及分区表,致使电脑无法启动,直接就导致系统瘫痪,不能开机。
文件系统变化:
1. 创建恶意文件。
c:windowsinfmdmnis5tq1.pnf
c:windowsinfverbh_noav.pnf
c:windowstempkey8854321.pub
2. 在局域网的共享文件夹下释放恶意文件。
3、感染 c:windowssystem32 目录下大量文件。
系统注册表变化:
修改注册表remoteregistry 键,启动remoteregistry服务。
同时,修改localaccounttokenfilterpolicy 键,注册表路径为:hklmsoftwaremicrosoftwindowscurrentversionpoliciessystemlocalaccounttokenfilterpolicy,即禁用uac远程限制,从而避免计算机被远程操作时触发uac。
网络症状:
访问内网主机共享目录。
样本详细分析报告:
1、攻击者通过制造“钓鱼页面”,使得浏览该网站的计算机执行嵌入在网页中的恶意脚本。该伪造网站中也会有部分页面是用来引诱用户输入他们的企业账号密码之类的信息。
同时,恶意脚本也是被经过混淆处理的,目的在于增加逆向的难度。恶意脚本片段如下:
执行该代码片段,被攻击者的计算机会从服务器上下载powershell脚本并建立远程shell,以便黑客后续可以控制该计算机。
可以收集被攻击者的用户名、密码的代码片段如下:
2. 该程序在内存中会先解密出大量的字符串,通过运行时获取函数地址以及解密关键的字符串都是有效躲避安全软件查杀的方法。0x4043f0 就是解密字符串函数。
从解密得到的字符串中,可以观察出,攻击者想要使目标计算机上启用“remote registry”服务。该服务的作用是能够使远程用户修改此计算机上的注册表设置。同时设置“localaccounttokenfilterpolicy”,该键值与uac有关。
3. 继续解密字符串,得到“admin$,c$windows,d$windows,e$windows”如果这些目录存在,病毒则会拷贝自身到其中,达到传播的目的
4. 收集受感染计算机的运行环境。
5. 获取关于“local service”,即本地服务账户的信息。本地服务帐户是一个类似于经过认证的用户帐户的特殊的内置帐户。本地服务帐户具有和 users 用户组成员相同级别的资源和对象访问权。用本地服务帐户运行的服务使用带有匿名证书的空会话访问网络资源。帐户的名字是 nt authoritylocalservice 。这个帐户没有密码。
6. 释放母体中三个资源文件:
mnu:通信模块;
lng:感染模块,即“文件擦除器”;
pic: 64位版本的“擦除器”。
7. 修改文件时间,此病毒把时间修改为2012年8月。修改时间是用来反取证的手段。
8. 在创建服务之前,先提升自身的权限。
9. 创建名为“maintenacesrv”的服务,启动类型为自启动,即在系统启动阶段会被服务管理器加载,并且有独立的进程。
10. 该服务进程在系统关键目录下创建大量的文件,文件名均为随机产生。
这些文件运行时首先会释放内嵌的驱动文件到系统关键目录。
11. 拷贝到关键目录之后,“擦除器“进程则启动cmd进程执行命令”sc create hdv_725x type= kernel start= demand binpath= windowshdv_725x.sys 2>&1 >nul”,目的是向驱动管理器注册该驱动,声明该驱动的启动类型、映像文件等。
12. 最后,大量修改系统关键文件之后,强制重启计算机。
重启命令:shutdown –r –f –t 2
13. 由于是对系统文件进行修改,所以在修改文件时可能发生严重错误使计算机停止工作,或者修改完之后重启时出现蓝屏。
至此,目标企业内部计算机系统已被破坏。
应对措施及建议:
1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 备份好电脑的重要资料和文档,定期检查内部的备份机制是否正常运行。
3. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
4. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
5. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
6. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
7. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
8. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。