對兩款流行鎖機的分析
0x00 前言
據我所知,自2014年來,各種就敲竹槓鎖機雖出不窮,剛開始以娛樂為主,後以勒索為目的,其方式變化多端,毫不誇張地說,此類樣本很可能己達到千萬級,成為流行病毒的重要一部分。 類型從bat (批處理)一(vbe)一exe(可執行程序)。其中exe可分為不加殼,加普通殼一一加強殼。其中保護殼的功能各有不同,如反虛擬機、反沙箱(盒)、反影子。其目的就是為了加大安全人員分析的難度。勒索方式有用戶鎖、屏幕鎖、MBR邏輯鎖。勒索金額各不相同。起初bat、vbe類主要是以net user管理員賬戶來修改,因當時大多數殺軟對樣本調用的cmd命令行不阻止,有很多人中招初代的exe類也是如此。屏幕鎖是使軟件顯示於最上層(類似於遊戲全屏),通過各種手段阻止用戶退出並要求輸入密碼,以此來勒索用戶。而MBR邏輯鎖是通過修改MBR,使用戶無法進入操作系統,停留在引導界面並要求輸入密碼,以此來勒索。下面,我們正式進入分析。
0x01本地隨機數
這樣稱是因為樣本的算法在本身中,隨機ID匹配對應的密碼,作者通過算法即可算出密碼。這裡以檸檬鎖機為例。
樣本信息
中招效果
原理就是寫入MBR
在虛擬機環境中,雙擊樣本。通過彈窗“請不要在虛擬機中運行程序”標題是SE殼的名稱。
SE殼是目前保護殼中最難破解的,所以我們請來了逆向dalao——sound來幫助我們分析。通過一會的的逆向分析,找到了OEP入口點。據他說是利用腳本就可以直接跑出OEP的,這個腳本他曾經發布過,有興趣的可以自己找找看。
找到了OEP入口點,也就是說,我們成功對程序進行了解壓縮。這時候已經開始運行真正的程序了。通過分析算法,得到結果如下:有兩個隨機數,一個取md5,一個取16進制大寫。然後與固定參數25572參與運算,轉換為md5,取前10位,再取一次md5前16位,最後得到密碼,並且都是大寫的。破解該鎖後,作者聲稱無法破解的幻想已經破滅。
0x02網絡隨機數
這樣稱只是為了方便辨識,而不是算法在服務器上。其原理就是將本地算法生成的ID與密碼發送到服務器/郵件上這裡以蝸牛鎖機為例。MBR界面上屆有兩個QQ號QQ名為主號或備用號,頭像為動漫人物的鎖機,一定是該作者編寫的。因中的人數眾多,我們對該樣本進行深入分析。
以下是詳細信息
360天眼情報系統情報
中招情況
通過行為分析工具分析得,該樣本僅為一個下載器,會從服務器上下載真正的鎖機,以此來達到免殺的目的。但筆者下載了作者服務器上的樣本,被360 QVM報毒。說明360在聯網情況下,支持查殺該樣本的變種。
下載器情況
將樣本在虛擬機內運行分析,樣本彈窗提示請勿在虛擬機內運行,因為樣本加的是SE殼,所以使用分析工具進行運行分析。
樣本運行流程
SE殼彈窗提示
繞過之後就可以看到前面樣本的下載地址了
那怎麼繞過的SE殼的虛擬機檢測呢?
因為是dalao幫忙分析的,他的方法我們不得而知。但是我還是有一個辦法可以繞過SE殼的虛擬機檢測的。這個辦法是從pxhb大佬那裡學來的。我貼在這裡:
第一處:
特徵碼81 7D E4 68 58 4D 56
cmp dword ptr ss:[ebp-0x1Ch],0x564D5868h //將564D5868 任意修改
jnz L0069B0FF
push -0x4h
pop eax
jmp L0069B101
L0069B0FF:
xor eax,eax
L0069B101:
call L006B3C4C
retn//這裡把eax賦值0也可以
原理:in eax,dx這個大家都知道
第二處:
特徵碼55 8B EC 83 EC 14
push ebp//直接mov eax,0 retn
mov ebp,esp
sub esp,0x14h
push ebx
push esi
jmp L0069AFA9
原理:關鍵部分vm了
作者使用的是stmp郵件服務器
我登陸上作者的郵箱,得到鎖機的密碼。
分析到此結束
另外,截至文章發表前,病毒作者作者加入了對火絨的檢測,也就是說,在安裝火絨的電腦上不運行。但是,這並沒有什麼用。
0x03 總結
中此類病毒的原因,大多數都是為了貪小便宜,體驗開外掛得到的樂趣。但也有些人,輕信作者所謂的“誤報”選擇關掉殺軟,我就把他歸結為智商問題。遇不放心的軟件放到虛擬機運行,要是虛擬機運行不了,那就是軟件作者對軟件採取了反虛擬機措施。這時候,你運行這個軟件就得小心了。
當然啦,如果你也對網絡安全感興趣,或者致力於成為一名白帽子,或者僅僅想吃瓜看調戲黑闊和騙子的日常,也請關注我,不會讓你們失望~
閱讀更多 i春秋論壇 的文章
