火绒博锐(北京)科技有限公司
一、背景 (3)
二、初步分析 (4)
1、统计分析 (4)
2、病毒混淆器 (5)
三、详细分析 (7)
1.行为分析 (7)
2.混淆器分析 (9)
3.病毒主体分析 (12)
四、安全建议 (18)
一、背景
在火绒前一篇《“病毒”深度分析报告》
(bbs.huorong/forum.php?mod=viewthread&tid=12856)中,我们针对“病毒”背后的黑“生态链”及其猖獗泛滥的原因进行了分析。本篇,我们将试图通过代码级分析,更深入地揭开“病毒”的神秘面纱。
CryptoWall病毒(火绒安全软件将其命名为:Ransom/Crowti),可以算是“行业”的元老级病毒了。该病毒家族最早可查是在2013年11月,到2015年底,该病毒”推出”了4.0版本,誓要将进行到底。时至今日,我们仍可以在各种关于病毒的报道中看到图1所示的“温馨提示”:
图1、Ransom/Crowti病毒赎金缴纳说明
二、初步分析
1、统计分析
图2展示的是火绒样本平台统计到的部分Ransom/Crowti样本,其中左边展示了部分样本的可见图标。通过对大量Ransom/Crowti样本的统计,我们发现: 1)该家族样本数量庞大,且样本的静态特征并不相同,这点可以从图2左面的样本图标以及样本哈希(SHA1)看出;
2)真正的Ransom/Crowti 病毒主要代码几乎没有改变,这个结论可以从火绒的检出(Ransom/Crowti.b)得出;
图2、火绒内部样本分析平台展示
通过在虚拟机中动态执行样本并通过火绒剑监控其行为,我们发现2016年的样本和早期样本相比,行为模型几乎完全一样,如图3:
图3、Ransom/Crowti病毒行为模型
正如《“病毒”深度分析报告》中所介绍的,同一个病毒样本,通过“病毒混淆器”的加壳变形,可以在短时间内批量生成”不同“(Unique)的病毒样本。
病毒样本
2、病毒混淆器
早期的病毒批量生成是通过加壳实现的,对同一样本的不同拷贝分别加壳可以产生“不同“(Unique)的样本。现如今的反病毒引擎也基本都可以对这类加壳程序进行识别,并通常都有不同程度的脱壳能力。随着反病毒引擎技术的发展,为了对抗反病毒引擎的脱壳技术,病毒作者开始选择一些“地下壳”或者“私有壳”加密自己的病毒,这类壳也通常有着很强的代码变形能力,我们通常称这类病毒专属的壳为“病毒混淆器“。 随着高级语言编写的”病毒混淆器”(一些国外安全厂商会报出HLLP、HLLW等名字,即High-Level Language Packer/Wrapper)的出现,病毒和反病毒引擎之前的博弈又被推上了一个新的高度。传统扫描引擎对壳的”识别“被颠覆,基于“通用脱壳”(Generic Unpacking)的反病毒引擎应运而生。“通用脱壳”,简单来说,就是不识别特定类型的壳代码,对所有待扫描样本均通过”虚拟沙盒“虚拟执行,进而在虚拟执行的过程中还原可能被”加壳“的代码和数据。
最早的“病毒混淆器“可以追溯到2008-2009年之间出现过的Trojan/C2Lop病毒。其外层的”病毒混淆器“通常被成为Swizzor。这个病毒曾经流行一时,之后销声匿迹,但
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议