1、概述
近日,安天CERT捕获到一种通过伪装为常见Windows应用的安装程序进行传播的Vovalex勒索软件。该勒索软件最早出现于2021年1月,它是目前发现的首个使用D语言编写的勒索软件。
D语言源自C/C++,借鉴了众多编程语言的特色和现代编译器技术,增加了实用性。由于恶意代码开发者通常不会选择使用D语言进行开发,所以能够绕过安全软件的部分检测机制。目前,Vovalex勒索软件并未发现广泛传播,但如果攻击者将该勒索软件添加到软件捆绑包以及默认推广链接中,将会造成严重后果,用户需及时针对此类攻击手段做好有效防范措施。经验证,安天智甲终端防御系统(简称IEP)[1]的勒索软件防护模块可有效阻止Vovalex勒索软件的恶意行为。
2、Vovalex勒索软件对应ATT&CK的映射图谱
该勒索软件技术特点分布图:
![图片[1]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317350_60388726c33f25eb299f4.png)
图 2-1 Vovalex勒索软件技术特点对应ATT&CK的映射
具体ATT&CK技术行为描述表:
表 2-1 具体技术行为描述表![图片[2]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317333_6038871582cbe926677b5.png)
3、防护建议
针对该勒索软件安天建议个人及企业采取如下防护措施:
3.1 个人防护
(1) 安装终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启);
(2) 加强口令强度: 避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
(3) 及时更新补丁:建议开启自动更新功能安装系统补丁,服务器应及时更新系统补丁;
(4) 关闭高危端口:如无使用需要,建议关闭3389、445、139、135等高危端口;
(5) 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离;
(6) 下载正版软件:建议使用官方网站下载的正版软件。如无官方网站,建议使用可信来源进行下载,下载后使用反病毒软件进行扫描。
3.2 企业防护
(1) 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源奠定基础;
(2) 设置IP白名单规则: 配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解;
(3) 主机加固: 对系统进行渗透测试及安全加固;
(4) 灾备预案:建立安全灾备预案,确保备份业务系统可以快速启用;
(5) 安天服务:若遭受勒索软件攻击,建议及时断网,并保护现场等待安全工程师对计算机进行排查。安天7*24小时服务热线:400-840-9234。
目前,安天智甲终端防御系统可实现对Vovalex勒索软件的查杀与有效防护。
![图片[3]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317466_6038879a15b23b3943a16.png)
图 3-1 安天智甲有效防护
![图片[4]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317482_603887aaeb44b7ed12d71.png)
图 3-2 安天智甲阻止加密行为
4、Vovalex勒索软件概览
表 4-1 Vovalex勒索软件概览![图片[5]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317497_603887b9e6e0da2bee41d.png)
5、Vovalex勒索软件分析
5.1 样本标签
表 5-1 Vovalex勒索软件基本信息![图片[6]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317516_603887cc36975d04b1de8.png)
5.2 样本行为
该样本将自身伪装为CCleaner安装程序。CCleaner是英国软件公司Piriform开发的一款垃圾清理工具。通过查看Vovalex勒索软件的区段表,可以看到D语言独有的区段名:._deh、.dp、.minfo和.tp。
![图片[7]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317546_603887eabbb1bc160c528.png)
图 5-1 Vovalex勒索软件的区段表
Vovalex勒索软件执行后,将正常的CCleaner安装程序释放到Temp文件夹,文件名为随机的字符串组合。
![图片[8]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317559_603887f709adf216c355d.png)
图 5-2 创建CCleaner安装程序
对比Vovalex勒索软件和释放的CCleaner安装程序的文件属性,发现部分信息存在差异,并且CCleaner安装程序拥有正常的数字签名。
![图片[9]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317574_60388806f2ac4ae65a81a.png)
图 5-3 文件信息对比
Vovalex勒索软件创建新的进程,运行真的CCleaner安装程序。
![图片[10]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317586_60388812e937825d4395d.png)
图 5-4 运行CCleaner安装程序
![图片[11]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317630_6038883e1651d7b1c62df.png)
图 5-5 CCleaner安装程序主界面
CCleaner安装程序执行后,Vovalex勒索软件将会休眠15s,给用户留出足以完成CCleaner安装程序选项的时间。当休眠结束后,勒索软件开始加密文件。即使用户察觉到由于系统资源被消耗造成的卡顿,也只会认为是安装了CCleaner引起的正常现象。
![图片[12]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317651_60388853644c8ec5953b7.png)
图 5-6 勒索软件休眠15s
Vovalex勒索软件执行后,加密计算机中具有以下扩展名的文件,在原文件名后追加名为“.vovalex”的后缀。
表 5-2 加密文件扩展名![图片[13]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317720_60388898c4cdcee0388bb.png)
![图片[14]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317735_603888a7cc21daef7d691.png)
图 5-7 加密后的文件
Vovalex勒索软件执行后在计算机桌面目录下创建名为“README.VOVALEX.txt”的勒索信,勒索信内容包含勒索说明、联系方式和交付赎金的方法等信息。目前被Vovalex勒索软件加密的文件在未得到密钥前暂时无法解密。
![图片[15]-首个D语言勒索软件,安天智甲有效防护 – 作者:antiylab-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210226/1614317760_603888c07a56b0d7c08a0.png)
图 5-8 勒索信
来源:freebuf.com 2021-02-26 13:42:04 by: antiylab
请登录后发表评论
注册