用户
搜索
  • TA的每日心情
    开心
    2018-7-27 14:34
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    5

    主题

    19

    帖子

    82

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-5-26

    i春秋签约作者

    发表于 2018-11-16 22:27:17 310760
    本帖最后由 MUSYIDA 于 2018-11-16 22:57 编辑

    对两款流行锁机的分析

    0x00 前言

    据我所知,自2014年来,各种就敲竹杠锁机虽出不穷,刚开始以娱乐为主,后以勒索为目的,其方式变化多端,毫不夸张地说,此类样本很可能己达到千万级,成为流行病毒的重要一部分。 类型从bat (批处理)一(vbe)一exe(可执行程序)。其中exe可分为不加壳,加普通壳一一加强壳。其中保护壳的功能各有不同,如反虚拟机、反沙箱(盒)、反影子。其目的就是为了加大安全人员分析的难度。勒索方式有用户锁、屏幕锁、MBR逻辑锁。勒索金额各不相同。起初bat、vbe类主要是以net user管理员账户来修改,因当时大多数杀软对样本调用的cmd命令行不阻止,有很多人中招初代的exe类也是如此。屏幕锁是使软件显示于最上层(类似于游戏全屏),通过各种手段阻止用户退出并要求输入密码,以此来勒索用户。而MBR逻辑锁是通过修改MBR,使用户无法进入操作系统,停留在引导界面并要求输入密码,以此来勒索。下面,我们正式进入分析。

    0x01本地随机数

    这样称是因为样本的算法在本身中,随机ID匹配对应的密码,作者通过算法即可算出密码。这里以柠檬锁机为例。

    样本信息
    中招效果
    原理就是写入MBR

    在虚拟机环境中,双击样本。通过弹窗“请不要在虚拟机中运行程序”标题是SE壳的名称

    SE壳是目前保护壳中最难破解的,所以我们请来了逆向dalao——sound来帮助我们分析。通过一会的的逆向分析,找到了OEP入口点。据他说是利用脚本就可以直接跑出OEP的,这个脚本他曾经发布过,有兴趣的可以自己找找看。

    找到了OEP入口点,也就是说,我们成功对程序进行了解压缩。这时候已经开始运行真正的程序了。通过分析算法,得到结果如下:有两个随机数,一个取md5,一个取16进制大写。然后与固定参数25572参与运算,转换为md5,取前10位,再取一次md5前16位,最后得到密码,并且都是大写的。破解该锁后,作者声称无法破解的幻想已经破灭。

    0x02网络随机数

    这样称只是为了方便辨识,而不是算法在服务器上。其原理就是将本地算法生成的ID与密码发送到服务器/邮件上这里以蜗牛锁机为例。MBR界面上届有两个QQ号QQ名为主号或备用号,头像为动漫人物的锁机,一定是该作者编写的。因中的人数众多,我们对该样本进行深入分析。

    以下是详细信息

    360天眼情报系统情报

    中招情况

    通过行为分析工具分析得,该样本仅为一个下载器,会从服务器上下载真正的锁机,以此来达到免杀的目的。但笔者下载了作者服务器上的样本,被360 QVM报毒。说明360在联网情况下,支持查杀该样本的变种。

    下载器情况

      将样本在虚拟机内运行分析,样本弹窗提示请勿在虚拟机内运行,因为样本加的是SE壳,所以使用分析工具进行运行分析。

    样本运行流程

    SE壳弹窗提示

    绕过之后就可以看到前面样本的下载地址了

    那怎么绕过的SE壳的虚拟机检测呢?
    因为是dalao帮忙分析的,他的方法我们不得而知。但是我还是有一个办法可以绕过SE壳的虚拟机检测的。这个办法是从pxhb大佬那里学来的。我贴在这里:

    第一处:
    特征码81 7D E4 68 58 4D 56
    cmp dword ptr ss:[ebp-0x1Ch],0x564D5868h //将564D5868 任意修改
    jnz L0069B0FF
    push -0x4h
    pop eax
    jmp L0069B101
    L0069B0FF:
    xor eax,eax
    L0069B101:
    call L006B3C4C
    retn//这里把eax赋值0也可以
    原理:in eax,dx这个大家都知道
    第二处:
    特征码55 8B EC 83 EC 14

        push ebp//直接mov eax,0  retn
        mov ebp,esp
        sub esp,0x14h
        push ebx
        push esi
        jmp L0069AFA9

    原理:关键部分vm了

    作者使用的是stmp邮件服务器

    我登陆上作者的邮箱,得到锁机的密码。

    分析到此结束
    另外,截至文章发表前,病毒作者作者加入了对火绒的检测,也就是说,在安装火绒的电脑上不运行。但是,这并没有什么用。
    0x03 总结
    中此类病毒的原因,大多数都是为了贪小便宜,体验开外挂得到的乐趣。但也有些人,轻信作者所谓的“误报”选择关掉杀软,我就把他归结为智商问题。遇不放心的软件放到虚拟机运行,要是虚拟机运行不了,那就是软件作者对软件采取了反虚拟机措施。这时候,你运行这个软件就得小心了。

    发表于 2018-11-20 14:33:26
    学习了学习了
    使用道具 举报 回复
    发表于 2018-11-21 22:41:04
    现在的锁机都是仿照的我之前写的绿帽子勒索软件差不多,,虽然那个绿帽子有点低级吧
    路漫漫,
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册