勒索软件分析_SamSam

0. SamSam概述

SamSam是一种勒索软件，在初次感染后会“监视”很长时间而不会被发现。SamSam利用漏洞攻击特定组织。勒索软件的创建者在SamSam删除或使受害者无法访问自己的数据后要求赎金。与SamSam打交道的组织主要包括很有可能获得大量资金以换取恢复数据的企业，例如医院和教育机构。SamSam通过对弱密码进行（包括远程桌面协议，RDP）执行暴力破解策略，利用漏洞访问受害者的网络。SamSam勒索软件是一种用于有针对性的攻击的改良感染，通常与各种漏洞利用或暴力破解策略一起使用。

1. Samsam工作原理

SamSam的工作方式与以前的勒索软件不同（WannaCry和GandCrab）不同。这些类型勒索软件在感染后直接攻击，锁定文件，然后索要赎金。SamSam的创建者会持续监控网络和用户活动，并分析他们是否可以更深地渗透到系统中。这样做是为了造成尽可能多地损失并使数据无法访问。然后SamSam会默默地删除或破坏备份，以防止公司恢复数据。一旦发生这种情况，SamSam就会对文件进行加密。进而想用户发布勒索信息。

2.Samsam样本收集

首先在谷歌浏览器收集SamSam勒索软件哈希值，得到哈希值集合1与哈希值集合2。在VirusTotal上搜索上述哈希值相关信息，并在COMMUNITY项中获取更多的相关IOC信息，如图1所示。

图1. 通过VirusTotal收集SamSam勒索软件IOC信息

对收集到的IOC数据进行清洗。具体来说，删除IOC信息中的非File类型的信息，同时删除重复的IOC信息。经过过滤，原先的152条IOC信息被过滤为68条IOC信息，如下图所示。

图2. 经过清洗后的SamSam勒索软件的部分IOC信息

根据收集到的IOC信息从VirusShare网站（注册账号后可以免费下载）下载对应的勒索软件样本，用于之后的勒索软件分析。基于68条IOC信息成功下载4个SamSam样本，如图三所示。

图3. 成功下载的SamSam勒索软件样本

为了进一步确认下载到的勒索软件是否属于SamSam，在VirusTotal下载样本对应的JSON分析报告，并通过开源的勒索软件标记工具AVClass对样本进行标记。结果表明，所有四个样本均属于SamSam勒索软件。

3. SamSam预分析

为了对SamSam勒索软件进行深入分析，首先对收集到的样本进行简单的静态分析，确定样本是否加壳。首先将收集到的样本存放到安全的环境中（本文采用虚拟机），之后通过PEid对样本进行分析。通过分析发现样本594b9b42a2d7ae71ef08795fca19d027135d86e82bc0d354d18bfd766ec2-424c不属于PE文件，不属于后去分析的范畴。同时，其余三个样本均未发现存在加壳的迹象。

为了进一步确定SamSam样本是否加壳，进一步通过Strings分析样本的字符串信息，发现三个PE格式的勒索软件样本均包含可读字符串，如图4所示。由此可知，这些样本很有可能并未进行加壳操作。

图4. SamSam勒索软件样本中的可读字符串

除此之外，还对每个样本的VIRTUAL SIZE与SIZE OF RAW DATA进行了分析，发现样本的两个数值相差不大，如图5所示。最终得出结论，收集到的3个PE格式的勒索软件样本没有加壳。

图5. SamSam勒索软件样本VIRTUAL SIZE与SIZE OF RAW DATA分析

注：未完待续