布谷鸟沙盒分析静态文件_新型Anatova恶意软件分析

最新推荐文章于 2022-12-12 14:07:05 发布
最新推荐文章于 2022-12-12 14:07:05 发布
阅读量328 收藏
点赞数
文章标签: 布谷鸟沙盒分析静态文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29795623/article/details/112459237
版权

近期,我们发现了一种新型的勒索软件家族-Anatova。Anatova发现于一个私人的点对点(p2p)网络中,目前我们已经确保客户得到了有效的安全保护,并打算在这篇文章中公开我们的研究成果。

0574b34a948360149a740f99ea6e343e.png

考虑到Anatova是以模块化扩展的形式开发的,因此我们认为它将会发展成为非常严重的安全威胁。

除此之外,它还会检查目标设备是否连接了网络共享,并加密所有的共享文件。根据我们的分析,Anatova背后的开发者技术水平非常高,因为我们捕捉到的每一个样本都拥有唯一的密钥和不同的功能,这在勒索软件领域中很少见。

在这篇文章中,我们将讨论Anatova的技术细节,以及关于这个新型勒索软件家族其他的一些有意思的东西。

分析样本hash:

170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0

Anatova的主要目的是加密目标设备上的所有文件,并向目标用户勒索数据赎金。

Anatova概述

Anatova一般会使用游戏或者常见应用的图标来欺骗用户下载恶意软件,然后请求获取管理员权限:

d74f45d21a5bd8985f8326d83137b31a.png

Anatova勒索软件是一款64位应用程序,编译日期为2019年1月1日。我们的样本文件大小为307kb,但具体会根据样本使用的资源发生变化。如果我们移除所有资源,Anatova的大小仅为32kb。对于一款拥有如此强大机制的勒索软件来说,这个体积确实非常小。

Anatova还拥有强大的保护机制来对抗静态分析:

1、 大多数字符串都使用了Unicode或ASCII进行加密,使用了不同的解密密钥,数据全部嵌入在可执行文件中。

2、 90%都是动态调用,只使用了常见Windows API的标准库(C语言):GetModuleHandleW、LoadLibraryW、GetProcAddress、ExitProcess和MessageBoxA。

3、 当我们在IDA Pro中查看代码并对功能函数进行分析时,IDA Pro一直报错,我们不确定这是IDA Pro的Bug还是恶意软件开发者有意而为之的。

0ca7ab5245bd2378e2152a453dbae482.png

V1.0亮点

因为这是一款新型的勒索软件,所以我们暂且将其归为v1.0版本。

恶意软件首先会获取“kernel32.dll”来作为模块处理库,并使用函数“GetProcAddress”来从处理库中获取29个功能函数。

5479640cf2077843d312c0cb7641b8fe.png

如果恶意软件无法获取kernel32模块处理库,而且也无法获取其他的功能函数,它将会退出执行。

接下来,恶意软件会尝试使用硬编码名称(6a8c9937zFIwHPZ309UZMZYVnwScPB2pR2MEx5SY7B1xgbruoO)来创建原语,但不同样本中的原语名称也不同。创建完成并获取到处理库后,它会调用“GetLastError”函数,并判断最后一条错误信息是否为ERROR_ALREADY_EXISTS或ERROR_ACCESS_DENIED。这两条错误信息指的是“之前的原语对象实例已存在”。如果出现这样的情况,恶意软件会清空内存,我们之后会详细介绍这部分。

7143b9365e5d01c92dfbe2de52528327.png

通过这项检测后,Anatoa会使用相同的机制从“advapi32.dll”、“Crypt32.dll”和“Shell32.dll”库中获取某些功能函数。所有的文本都经过了加密处理,并且挨个进行解密,然后获取函数,释放内存,然后处理下一个请求。

如果无法获取到必要模块或函数,它将会运行清理工具并退出运行。

有意思的是,Anatoa还会获取已登陆/活动用户的用户名并搜索比对一个加密用户名列表:

LaViruleratesterTesteranalystAnalystlabLabMalwareMalware

很明显这是一种躲避虚拟机和沙盒的方法。

接下来,Anatova还会检测目标系统的语言,即系统使用的区域语言选项,这样是为了确保用户无法通过屏蔽某种语言来绕过文件加密。

下面的国家不会受到Anatova的影响:

所有独联体国家叙利亚埃及摩洛哥伊拉克印度

独联体国家被排除在攻击名单外的情况很常见,这也表明攻击者很有可能来自于其中的一个国家。但是,有多个国家被排除在外就有些奇怪了。

e38baa4a7d1d75969044fef7fa5e5f7c.png

语言检测完成后,Anatova会寻找一个标记(该标记在所有样本中的值都为0),如果这个标记值变成了1,它将会加载两个DLL文件:“extra1.dll”和“extra2.dll”。这也表明,Anatova是以模块化的形式开发的,并且将来会实现更多的功能扩展。

ead441ff9ca626182f0f298c125100bf.png

接下来,Anatova会使用加密API来生成RSA密钥对。它会使用加密API“CryptGenRandom”(Salsa20算法)来创建一个32位的随机密钥以及一个8字节值。文件加密过程中,它还会解码样本中的主RSA公钥:

e294939c78aae31b547c81fd3142c861.png

用于实现文件加密功能的部分代码如下:

6bde91f6bef325fa3f5c91d05c3100dd.png

下面给出的是Anatova显示给目标用户的勒索信息:

f1a2a35b9aedbfaac2bf74d5b8f84d8b.png

文件加密完成后,Anatova还会删除目标设备上的卷硬拷贝,跟其他勒索软件一样,这里Anatova同样会使用vssadmin程序:

2eabd53a2ee4bdffa66fd208a8f848a4.png

所有的操作步骤都完成后,勒索软件会进入代码清洁流程,也就是清除内存中的代码以防止用户创建解密工具。

入侵威胁指标IoC

样本使用了下列攻击技术:

1、 通过API执行;

2、 应用进程发现;

3、 文件和目录发现:搜索文件进行加密;

4、 加密文件;

5、 进程发现:枚举终端设备上的所有进程,并终止特定进程;

6、 创建文件;

7、 权限提升;

哈希:

2a0da563f5b88c4d630aefbcd212a35e366770ebfd096b69e5017a3e33577a949d844d5480eec1715b18e3f6472618aa61139db0bbe4937cd1afc0b818049891596ebe227dcd03863e0a740b6c605924

* 参考来源:securingtomorrow,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

推荐阅读

06ba09d99485144c2c80ac20e19304b0.png

9b89cb7214d0da3c9d02fae71024a838.png

02f3a5fc7bb6b0b6b57113993e25311a.png

66597b1cf4c3fba9bffca34cb31c4ed6.gif

cdea45443778a810e11d45ff82768b4f.gif

何静回来了
关注
qcow2镜像转换为iso_【虚拟机镜像分析
weixin_39923262的博客
11-25 3100
来源:iForensicsID:iForensics-2016我们在工作中经常会接触到各种各样的虚拟机镜像,常见的镜像文件格式有:raw、qcow2、qed、qcow、luks、vdi、vmdk、vpc、VHDX等。本文以最常用的qcow2格式为例进行分析。一、分析环境搭建安装操作系统,本文测试用的操作系统为CentOS 7.5.1804;安装qemu及其它软件包,安装命令:#yum i...
布谷鸟沙盒分析静态文件_布谷鸟cuckoo
weixin_39645249的博客
12-23 836
本文分为3部分,分别是 布谷鸟的安装、虚拟机的使用和布谷鸟的配置和使用。参考资料有:布谷鸟的安装1、环境准备apt-get updateapt-get install -y python python-pip python-dev libffi-dev libssl-devapt-get install -y python-virtualenv python-setuptoolsapt-get i...
布谷鸟布谷鸟沙盒是一个自动化的动态恶意软件分析系统
02-28
是领先的开源自动化恶意软件分析系统。 那是什么意思? 它只是意味着您可以向其扔任何可疑文件,而Cuckoo会在几秒钟内为您提供一些详细的结果,概述在隔离环境中执行该文件时的行为。 如果您想为开发做出贡献,报告错误,提出功能要求或提出问题,请首先查看我们的。 确保您检查了我们现有的Issues和Pull Requests,并加入了我们的。 有关设置说明,请参考。 这是开发版本,我们不建议在生产中使用它。 可以通过pip install -U cuckoo最新的稳定版本。 您可以在找到最新稳定版本的完整文档。
布谷鸟沙盒分析静态文件_“案例沙盒方法”喜提国际商学院协会(AACSB)2019年启发式创新奖...
weixin_28848833的博客
12-30 362
国际商学院协会(AACSB)于2019年4月14日至16日在英国爱丁堡召开年会,会上公布了2019年Innovation that Inspire的(启发式创新奖)获奖学校及项目。大会共收到800余个项目报名,最终21个项目获此殊荣。新南威尔士大学商学院以创新品牌UNSW Sandbox Method (案例沙盒方法)摘得这一荣誉。该方法由新南威尔士大学商学院潘善琳教授所领导的团队开创,...
MalwareClassifier:使用深度学习和布谷鸟沙箱进行恶意软件分类
04-04
恶意软件分类器 这是恶意软件分类研究的代码库。 所有深度学习模型都是使用Python 3.6+和PyTorch 1.9实现的。 点击查看研究详情 数据 源数据是由恶意软件动态分析系统生成的json报告。 对数据进行了分析,以提取有关恶意样本的最有用信息。 分析的结果是,选择了3698个特征,并将在此基础上进行进一步的分类。 因此,为恶意软件的每个实例分配了一个尺寸为3698的二进制特征向量,该特征向量的标签是卡巴斯基反病毒软件进行分类的结果。 该数据库包含来自8种不同类型的恶意软件的大约10,000个带标签的样本和大约14,000个未带标签的样本。 数据可视化 尺寸为3698的规格化矢量表示为大小为61×61(61≈√3698)的RGB图像,其中,每个像素的颜色由相应特征的值设置。 自动编码器 在未标记的数据上训练了一个潜在空间尺寸为200的自动编码器模型,以便使用预训练的编码器对恶意软
病毒分析一(CUCKOO布谷鸟沙箱搭建)
风雨中做个大人,阳光下就做小朋友
12-12 814
CUCKOO搭建
cuckoo:布谷鸟沙盒厨师食谱
06-13
布谷鸟沙盒食谱 Cuckoo Sandbox ( ) 是一个完全开源的解决方案,这意味着您可以查看它的内部结构、修改它并随意定制它。 继续并下载它以开始处理恶意软件。 本说明书安装和配置构建您自己的 Cuckoo Sandbox 恶意软件...
xlgwwcjbxgq_沙盒游戏txt_dragdrop_gdrg_
10-01
标题“xlgwwcjbxgq_沙盒游戏txt_dragdrop_gdrg_”和描述“沙盒游戏”暗示了这个压缩包可能包含与沙盒类游戏相关的文本资源,如游戏脚本、教程或者MOD(游戏模组)的配置文件。标签“txt”表明文件类型主要是纯文本,...
布谷鸟沙盒分析静态文件_从 “RSAC创新沙盒2019” 看终端安全
weixin_35705523的博客
12-17 146
RSA2018掀起的安全浪花似乎还未平息,RSA2019又于3月4日在美国旧金山开幕。在这带有“网络安全风向标”头衔的创新沙盒环节中,10家入围的网络安全厂商犹如“八仙过海,各显神通”,展现各自看家本领,其中包括资产管理、身份与特权管理、硬件及固件威胁预防、应用安全等。众多的创新技术,给终端安全带来新的启发和解决思路。1 终端成为安全的 “宠儿”回顾2016年RSA会议时,似乎就释放出“终端强势回...
Cuckoo Sandbox:Cuckoo Sandbox用于自动分析恶意软件-开源
05-13
布谷鸟沙箱使用组件来监视沙箱环境中恶意软件的行为; 与系统的其余部分隔离。 它提供对Windows,Linux,macOS和Android上任何恶意文件的自动分析
布谷鸟沙盒分析静态文件_Struts2 s2061 Poc分析
weixin_34873494的博客
12-16 213
简介Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大分析第一次比较认真的接触Ognl语言,下面分析一下Poc过程 环境使用vulhu...
对Anatova勒索软件进行一番深度分析后发现,它可能是新旧两代勒索技术的分水岭!
systemino的博客
05-29 245
前言 今年1月,迈克菲实验室(McAfee Labs)发现了一款攻击威力远胜于 Ryuk 的勒索软件,该勒索软件通常将自己伪装成流行的游戏或者应用程序欺骗用户下载执行,运行后,它会主动请求管理员权限以便对用户磁盘文件进行加密,之后再索取赎金。根据对Anatova分析可以发现该勒索软件的开发者是一个经验十足的恶意代码编写者,至今发现的多个样本中包含了不同的密钥和部分不同的函数,该勒索软件还预留了...
适合新手的分析报告-01
hskull的博客
07-16 579
最近一段时间由于刚入职,所以分析了各种不同类型的一些恶意样本,这些样本可以作为一个新手进行样本分析学习的练手样本,现在将我自己的心得分享出来,希望对大家有所帮助。
自动化恶意软件分析系统Cuckoo安装、配置详解
D_R_L_T的博客
01-28 6176
0×00 简述  沙盒(Sanbox) 是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析。 Cuckoo 是一款用 Python 编写的开源的自动化恶意软件分析系统,它的主要功能有: 跟踪
软件沙箱技术 – 安全分析沙箱Cuckoo Sandbox
热门推荐
abcd1f2的专栏
01-15 1万+
1.Cockoo的功能 Cockoo Sandbox是开源安全沙箱,基于GPLv3。目的是恶意软件(malware analysis)分析。使用的时候将待分析文件丢到沙箱内,分析结束后输出报告。很多安全设备提供商所谓云沙箱是同类技术,一些所谓Anti-APT产品也是这个概念。和传统AV软件的静态分析相比,Cuckoo动态检测。扔到沙箱的可执行文件会被执行,文档会被打开,运行中检测。和不少开源
【杜鹃沙盒】Cuckoo SandBox学习笔记
推理小孩的博客
03-05 1526
【杜鹃沙盒】Cuckoo SandBox学习笔记  这是个github上开源前十的项目之一,笔者只完成学习了部分功能,前来分享点经验   整个工程 连接地址 :https://github.com/cuckoosandbox/cuckoo 0x01调试运行 学习代码很关键的就是调试了 所以首先奉上点调试小技巧        一个编译器最基本的就是...
基于AI的恶意软件分析技术(3)
山楂的博客
05-05 7322
2020年一篇综述:基于AI的恶意软件检测和分类研究的发展、趋势和挑战
HASH算法模板以及简单的入门题总结
lajiyuan的博客
06-18 5041
Hash算法模板 //暂时没用到双hash,用到会过来补充 //hash一般用来解决字符串判重/字符串匹配问题 //遇见不定长问题可通过二分+hash降低复杂度 //遇见定长字符串问题可通过尺取+hash来降低复杂度 //二维hash的时候尺取方法就是把之前不需要的都变为0再加上当前行,将匹配字符串整体下移,来验证hash值是否相等 #include<string.h> type...
如何从布谷鸟沙盒中提取api序列
最新发布
03-06
您可以通过以下步骤从布谷鸟沙盒中提取API序列: 1. 登录布谷鸟沙盒账户并创建一个新的沙盒。 2. 在沙盒中编写代码并使用API。 3. 在沙盒中运行代码并观察API序列。 4. 将API序列复制到您的代码中以使用它们。 希望...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值