概述
近日����,奇安信病毒響應(yīng)中心在日常樣本監(jiān)控過(guò)程中發(fā)現(xiàn)Hakbit勒索在國(guó)內(nèi)有擴(kuò)散趨勢(shì),經(jīng)過(guò)分析�����,奇安信已經(jīng)將其破解����,并公布了解密器和解密思路。
Hakbit勒索于11月4日在野外被發(fā)現(xiàn)��,加密82種文件后綴���,傳播方式主要為僵尸網(wǎng)絡(luò)和垃圾郵件�,執(zhí)行過(guò)程中會(huì)使用開(kāi)源項(xiàng)目SharpExec用于橫向移動(dòng)擴(kuò)大受害面積���,目前已經(jīng)檢測(cè)到國(guó)內(nèi)外用戶(hù)有小批量的中招��。
如果要解密文件請(qǐng)按照文章末尾的解密操作流程來(lái)進(jìn)行操作。
詳細(xì)分析
|
|
| 文件名稱(chēng) |
chrome32.exe |
| 文件類(lèi)型 |
Windows PE |
| MD5 |
791f2cb92301fd5709e0bfee741cf6d1 |
該勒索由.net語(yǔ)言編寫(xiě)�,原始樣本加有Smart Assembly殼,執(zhí)行過(guò)程中會(huì)根據(jù)配置項(xiàng)來(lái)決定是否執(zhí)行某些函數(shù)���,下面會(huì)對(duì)每一個(gè)功能逐一分析:
首先會(huì)檢查是否具有管理員權(quán)限�,如果有則通過(guò)注冊(cè)表禁用Windows Defender:
并調(diào)用Powershell禁用Windows Defender相關(guān)功能:
將自身進(jìn)程設(shè)置為系統(tǒng)嚴(yán)重狀態(tài),防止進(jìn)程被結(jié)束:
給自身添加ACL���,防止文件被訪(fǎng)問(wèn):
調(diào)用五個(gè)方法檢測(cè)當(dāng)前環(huán)境是否在虛擬機(jī)中�。
- 調(diào)用WMI查詢(xún)本機(jī)BIOS中是否包含相關(guān)字符串:
- 檢測(cè)調(diào)試器:
- 檢查是否含有SbieDll.dll�����,來(lái)判斷當(dāng)前是否在沙箱中運(yùn)行:
- 判斷磁盤(pán)大?���。?/li>
- 檢測(cè)系統(tǒng)名中是否包含“xp”:
判斷當(dāng)前執(zhí)行路徑是否在啟動(dòng)目錄下,如果不是則將自身拷貝到啟動(dòng)目錄下���,文件名則隨機(jī)從列表中選擇����。刪除卷影:
列表如下:
并從Github上下載SharpExec:
用于橫向移動(dòng):
結(jié)束相關(guān)進(jìn)程:
通過(guò)RNGCryptoServiceProvider類(lèi)生成強(qiáng)隨機(jī)數(shù)���,并進(jìn)行base64加密:
通過(guò)PBKDF2算法生成AES的key:
PBKDF2算法的key:
Salt如下:
通過(guò)AES算法對(duì)之前生成的base64值進(jìn)行加密:
并生成用戶(hù)ID����,用戶(hù)ID結(jié)構(gòu)如下:
(加密base64的AES_IV的長(zhǎng)度+加密base64的AES_IV+AES加密后的base64的值)
對(duì)其計(jì)算base64,結(jié)果即為用戶(hù)ID���。
之后開(kāi)始遍歷磁盤(pán):
加密如下后綴的文件:
加密后的文件后綴為.crypted���。
將之前生成的base64作為PBKDF2算法的Key。
salt如下:
AES的key和IV均是通過(guò)PBKDF2算法生成��。
對(duì)文件進(jìn)行加密:
拼接用戶(hù)ID����,生成勒索信:
并將本機(jī)IP、加密時(shí)間���、加密文件數(shù)�����、用戶(hù)ID�,發(fā)送到遠(yuǎn)程FTP服務(wù)器:
從遠(yuǎn)程服務(wù)器下載JPG文件作為桌面背景:
并調(diào)用notepad打開(kāi)勒索信:
最后自刪除:
解密思路
該勒索可以被解密���,目前奇安信已經(jīng)公布解密工具���,為了給社區(qū)做更多貢獻(xiàn),我們公布了相關(guān)解密思路:
解密文件需要獲得AES的key和IV��,由于A(yíng)ES的key和IV是通過(guò)PBKDF2算法生成的�����,PBKDF2的salt已知����,而PBKDF2得key則是之前通過(guò)強(qiáng)隨機(jī)數(shù)生成經(jīng)過(guò)base64編碼后的值,該值被另一套AES加密存到用戶(hù)ID中了�����,而AES的key還是通過(guò)PBKDF2算法生成的����,PBKDF2的key是硬編碼在程序中的,salt是已知的�����,所以我們可以得到AES的key�����,而AES的IV并不是通過(guò)PBKDF2生成的,而是RijndaelManaged類(lèi)默認(rèn)生成的��。但是IV被保存在了用戶(hù)ID中��,所以用戶(hù)只要能夠提供勒索信和加密后的文件就可以解密�。
解密操作流程
解密器下載地址:https://github.com/RedDrip7/Hakbit_decryptor
將被加密的文件放置到同一個(gè)目錄下,下載我們提供的解密工具:
打開(kāi)命令行�,輸入:
Decode.exe <勒索信的全路徑> <要解密的目錄>
解密前文件數(shù)據(jù):
解密后文件數(shù)據(jù):
隨后奇安信會(huì)推出官方整合版解密器,支持解密近百種勒索家族���,敬請(qǐng)期待���。
目前奇安信集團(tuán)全線(xiàn)產(chǎn)品,包括天擎��、天眼��、SOC�����、態(tài)勢(shì)感知���、威脅情報(bào)平臺(tái)��,支持對(duì)涉及該報(bào)告相關(guān)的攻擊活動(dòng)檢測(cè)��。
IOC
文件MD5:
791f2cb92301fd5709e0bfee741cf6d1
Host:
hakbit.000webhostapp.com
213.190.6.99
hakbit.hostingerapp.com
勒索比特幣錢(qián)包地址:12grtxACJZkgT2nGAvMesgoM4ADHJ6NTaW
聯(lián)系郵箱:hakbit@protonmail.com
|
