分析Avaddon勒索新变种 – 作者:深信服千里目安全实验室

Avaddon第一代

首次出现的第一个初始样本的时间戳为2020年6月3日,如下。

1599613718.png!small

传播方式为恶意邮件,附件为伪装成图片后缀名的恶意js脚本。

1599613731.png!small

无意执行完恶意脚本后会调用PowerShell从服务端下载恶意文件,该文件为实际的勒索软件,查实无数字签名,如下。

1599613740.png!small

加密完成后系统里产生的新文件依然会被加密的原因主要是由于设置了一个名为update的计划任务,每隔十分钟就会启动一次本地的勒索软件,继续加密新产生的文件,如下。
1599613751.png!small
从公网上公开的消息可知,之前针对的目标国家里有加拿大与日本,最后国内也已经有相关用户中招的案例,如下。
1599613766.png!small
1599613770.png!small
1599613774.png!small
1599613909.png!small
有通过Phorpiex/Trik僵尸网络进行传播,如下。
1599613941.png!small
1599613947.png!small
1599613950.png!small
在此次大规模恶意邮件传播的活动中,追踪到的与此类似的有2020年2月Nemty勒索家族的“情书”恶意邮件传播案例。因为这些恶意邮件正文内容仅包含眨眼的;)文字表情,与本次恶意邮件传播活动中的邮件内容类似,同样是恶意js文件作为附件,如下是Nemty勒索家族传播案例邮件正文。
1599613961.png!small
之前有对Avaddon勒索软件最初样本的加密流程与算法进行了详细分析(https://mp.weixin.qq.com/s/ziQZvvqhaO8hW9KhAq-KvQ),暂未发现缺陷能解密文件。

Avaddon第二代

2020年6月12日捕获到新的Avaddon勒索变种,如下为第二代变种。
1599613983.png!small
查实后存在无效的数字签名,如下。
1599613993.png!small
伪装成RealVNC产品组件,如下。
1599614002.png!small
时间戳如下,距离第一代相隔7天时间。
1599614010.png!small
1599614016.png!small
外壳程序执行过程中会申请内存空间,如下。
1599614025.png!small
之后异或0x1A70,每个DWORD数据都异或累加4,例如第二个异或0x1A74,以此类推进行解密得到选中区域内容,后续分析解密出的内容为shellcode。
1599614040.png!small
跳转到shellcode新的入口点执行,如下。
1599614049.png!small
以上的shellcode会进行如下操作,设置内存访问属性,模拟PE文件内存加载。
1599614058.png!small
将内存中释放出的PE文件进行dump,经过对比第一代样本发现相似度非常高,第二代变种所不同的是增加了反分析的手段,采用了流行勒索家族惯用的外壳伪装技巧,在内存中进行进程替换。
1599614067.png!small
1599614070.png!small

威胁情报

d17150af2caeec5da4029822d740137a

解决方案

深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:
1599614080.png!small

来源:freebuf.com 2020-09-09 09:15:51 by: 深信服千里目安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论