ProLock勒索軟件的示例分析

這篇文章主要介紹了ProLock勒索軟件的示例分析，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

創(chuàng)新互聯(lián)建站-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價比鳳凰網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式鳳凰網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋鳳凰地區(qū)。費用合理售后完善，十年實體公司更值得信賴。

寫在前面的話

當各個組織正忙于應(yīng)對全球疫情的時候，新一波的勒索軟件攻擊又悄悄開始了。這款名為ProLock的勒索軟件，是2019年底出現(xiàn)的PwndLocker勒索軟件的變種版本。PwndLocker的傳播時間非常短，主要是因為很多用戶發(fā)現(xiàn)解密文件所需的密鑰可以從惡意軟件本身來獲取，這樣就無需支付贖金了。但是，今年三月份出現(xiàn)的ProLock正好相反，因為目標用戶在支付了贖金之后，接收到的卻是一個存在問題的解密工具，而這個解密工具將會損壞目標用戶設(shè)備中已被勒索軟件加密的數(shù)據(jù)。

這種錯誤可能與ProLock加密文件時所采用的異常方式有關(guān)，因為ProLock在加密文件時，會跳過小于8192字節(jié)的文件，并且會對第一個8192字節(jié)之后的大文件進行加密。這樣一來，將導致文件部分可讀，部分被加密。

ProLock準備工作

ProLock可以通過多種方式來獲取目標網(wǎng)絡(luò)的訪問權(quán)，其中還涉及到一些第三方漏洞的利用。而且根據(jù)Group-IB的研究人員透露的信息，有一些ProLock受害者是通過QakBot銀行木馬所執(zhí)行的腳本感染的。FBI還指出，QakBot是ProLock的初始感染手段之一，除此之外還有利用網(wǎng)絡(luò)釣魚郵件和存在錯誤配置的RDP服務(wù)器等等。研究人員表明，最早的ProLock入侵行為是通過遠程桌面協(xié)議（RDP）連接來實現(xiàn)的。

ProLock攻擊著還會利用初始攻擊所獲得的訪問權(quán)限來進行一些網(wǎng)絡(luò)偵察活動，并在開始勒索軟件攻擊之前竊取一些用戶敏感數(shù)據(jù)。在研究的過程中，研究人員對目標系統(tǒng)中存儲的四個與勒索軟件相關(guān)的文件進行了分析，這些文件是從一個遠程服務(wù)器下載下來的，相關(guān)的IP地址已經(jīng)作為入侵威脅指標發(fā)布在了SophosLabs的GitHub庫中了：

C:\ProgramData\WinMgr.bmp

C:\ProgramData\WinMgr.xml

C:\ProgramData\clean.bat

C:\ProgramData\run.bat

ProLock攻擊鏈

ProLock惡意軟件依賴于Windows Batch腳本，Windows計劃任務(wù)（schtasks.exe）和PowerShell來發(fā)動其攻擊。勒索軟件鏈由run.bat腳本文件作為起始，它會創(chuàng)建一個Windows任務(wù)并使用WinMgr.xml來配置任務(wù)，然后執(zhí)行clean.bat腳本。當該腳本由計劃任務(wù)執(zhí)行之后，clean.bat將會執(zhí)行一個Base64編碼的PowerShell腳本，并從一個名叫WinMgr.bmp的圖片文件中提取出ProLock的可執(zhí)行文件，然后將其加載進內(nèi)存中并執(zhí)行。

下圖顯示的是clean.bat中嵌入的部分Base64編碼腳本代碼：

下圖顯示的是WinMgr.bmp中的部分腳本代碼：

下圖顯示的是WinMgr.bmp的圖形內(nèi)容，其中隱藏了ProLock惡意軟件Payload，這里使用了隱寫術(shù)：

ProLock樣本分析

我們在分析一個ProLock樣本時發(fā)現(xiàn)，它使用了一段自修改的代碼來隱藏了去中的部分內(nèi)容，這段代碼隱藏了部分文本字符串和其他元素。正如惡意軟件開發(fā)中常見的那樣，ProLock程序被故意設(shè)置為不允許調(diào)試，從而使研究人員更難通過受控的方式來運行它。

下圖顯示的是惡意軟件樣本執(zhí)行過程中的部分混淆代碼：

下圖顯示的是ProLock二進制文件自修改前后的代碼對比：

接下來，代碼會對其自修改的部分進行解碼，導入DLL，并設(shè)置好其需要使用的功能函數(shù)。設(shè)置完成后，便會開啟一個新的線程，然后將第一個線程設(shè)置為休眠（一種反分析技術(shù)）。隨后，惡意軟件將遍歷目標設(shè)備的注冊表以尋找潛在的安全策略設(shè)置。出于某種原因，惡意軟件會將IE瀏覽器的安全策略設(shè)置進行修改，關(guān)掉IE的通用命名約定路徑，并啟用自動Intranet映射，然后開始尋找可能會阻礙數(shù)據(jù)加密/銷毀的應(yīng)用程序以及服務(wù)。

通過調(diào)用Windows的CreateToolhelp32snapshot.dll，惡意軟件還會存儲所有正在運行進程的快照，并通過對照一個內(nèi)置列表來進行進程檢查，然后試用taskkill.exe實用工具來關(guān)閉所有與該列表匹配的進程，比如說一些Microsoft Office程序、Firefox瀏覽器、Thunderbird郵件客戶端以及安全軟件組件等等。勒索軟件會終止這類進程，以確保用戶文件沒有處于鎖定或打開狀態(tài)，從而實現(xiàn)數(shù)據(jù)的成功加密。

接下來，惡意軟件將會試用net.exe來嘗試關(guān)閉與企業(yè)應(yīng)用程序、安全軟件和備份軟件相關(guān)的150多種服務(wù)和進程。這一操作的目的同樣是為了排除數(shù)據(jù)加密的其他干擾因素。

然后，為了防止本地文件恢復，ProLock將會通過執(zhí)行下列命令來刪除本地文件的“卷影副本”vssadmin.exe文件（Windows的卷影復制服務(wù)）：

delete shadows /all /quiet

resize shadowstorage /for=c: /on=c: /maxsize=401MB

resize shadowstorage /for=c: /on=c: /maxsize=unbounded

注意事項：勒索軟件針對的進程和服務(wù)的完整列表發(fā)布在SophosLabs的GitHub上【傳送門】。

此時，當目標主機上所有的安全防護措施都已經(jīng)失效之后，勒索軟件將會開始檢測目標主機上所有已加載的存儲介質(zhì)，并遍歷本地或網(wǎng)絡(luò)驅(qū)動器的目錄結(jié)構(gòu)，這一部分操作都是通過powershell.exe進程來實現(xiàn)的。

當它每讀取到一個文件時，首先會檢查文件大小，如果文件小于8192字節(jié)（十六進制為0x2000），則跳過該文件。否則，它將從8192字節(jié)之后開始加密文件。加密文件后，擴展名.prolock會附加到其文件后綴之后。比如說，a_very_large_text_file.txt就會變成a_very_large_text_file.txt.prolock。

下圖顯示的是PreLock加密后的文件截圖：

下圖顯示的是文件加密前后的數(shù)據(jù)對比：

當勒索軟件完成每個目錄內(nèi)的文件加密之后，它會將一個名為[HOW TO RECOVER FILES].TXT的文件寫入到目錄內(nèi)，該文件包含的就是勒索信息。

感謝你能夠認真閱讀完這篇文章，希望小編分享的“ProLock勒索軟件的示例分析”這篇文章對大家有幫助，同時也希望大家多多支持創(chuàng)新互聯(lián)，關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，更多相關(guān)知識等著你來學習!

當前題目：ProLock勒索軟件的示例分析
分享URL：http://bm7419.com/article36/jjespg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應(yīng)網(wǎng)站、網(wǎng)站制作、全網(wǎng)營銷推廣、網(wǎng)站建設(shè)、網(wǎng)站導航、虛擬主機

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)