酷应用

Sodinokibi勒索病毒分析

百家作者：Chamd5安全团队 2021-09-25 23:19:46

IOC

病毒名称：Sodinokibi勒索病毒

样本名称：CDHFUN.exe

MD5: ea4cae3d6d8150215a4d90593a4c30f2

SHA1: 8dcbcbefaedf5675b170af3fd44db93ad864894e

SHA256: 6a2bd52a5d68a7250d1de481dcce91a32f54824c1c540f0a040d05f757220cd3

一、行为概述

Sodinokibi 勒索病毒（又称为REvil），在 2019 年 11 月首次在 VT 上被上传，直到今年 8 月还在网络上活动。感染该病毒的主机会经历提权以及文件加密的过程，所有被加密的文件都会以随机生成的扩展名结尾，并会被要挟前往暗网向黑客缴纳赎金。

病毒运行后，会在每一个待加密的目录下生成一个缴纳赎金指导文件，文件名前部分是随机生成的，且会运用到被加密文件的后缀中，以及里面还会包含一个随机生成的用户密钥。

病毒会在其工作目录下生成一个 DBG_LOG.TXT 文本文件，用于记录病毒感染主机的工作进度以及输出信息。

病毒将随机生成的后缀名以及桌面图片存储到注册表中。

加密后的文件夹如下：

加密结束后，病毒会将主机的桌面背景替换。

二、分析

在结束一系列初始化后，程序通过查询配置中的”exp”键值从判断是否进行提权，提权使用的是 CVE-2018-8453 漏洞。这里我获得的样本配置”exp”键值为 false，也就是不进行提权。

所有的配置信息都通过 rc4 流加密，在病毒运行时动态解密出字符串。在程序刚开始运行时，首先在函数 0x40e74b 中解密配置信息，解密后的字符串以 json 格式存储，信息长度为 0x663b 个字节，如下图所示。

通过动态调试可以知道，.ycpc19 节区的前 32 个字节是 rc4 的密钥。

因为我的样本配置“exp”为 false，所以这里只是静态分析一下。在函数 0x 415752 中，通过 GetNativeSystemInfo 函数来区分操作系统是 32 位的还是 64 位，选择对应的 shellcode 来执行 rc4 解密后执行 shellcode 来提权。

进入到函数 0x412ece 中，当程序不是以管理员运行时，将会调用 ShellExecuteExW执行“runas exp”命令再启动一个自身实例，并结束当前进程。

在函数 0x4121a0 中，通过 OpenProcessToken 函数查询，判断程序是否以管理员权限运行。

在函数 0x412681 中，检查感染主机的语言环境是否为特定的语言（通过键盘标识符判断），如果是则返回 0。返回 0 时，加密文件等后续操作将不会进行，也就是说该病毒对部分国家或地区不进行感染。

可以参考 https://docs.microsoft.com/zh-cn/windows-hardware/manufacture/desktop/windows-language-pack-default-values#span-idkeyboard_identifiersspanspan-idkeyboard_identifiersspanspan-idkeyboard_identifiersspankeyboard-identifiers 中提供的标志列表对照函数 0x41276B 中的值来查看哪些国家免疫。

在函数 0x4107AC 中，调用函数 0x4128d4，遍历进程列表查看是否存在黑名单中的服务，如果发现将会被强制终止。

在函数 0x 411EA2 中，通过 ShellExecuteExW 执行命令“powershell -e RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGMAbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==”（base64解码后为“Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}”）来删除 Windows 的操作系统的备份。

函数 0x414E3B 遍历本地驱动器上的所有文件夹及其文件。以白名单中的后缀结尾的文件不会被加密。配置中的“ext”键是后缀白名单，“fld”是文件夹白名单