病毒变种肆虐,卡巴斯基揭秘GlobeImposter勒索软件如何对抗安全厂商

春节刚过,在安全领域关于GlobeImposter勒索软件的各种消息甚嚣尘上,勒索软件被公认为是未来网络安全的最大威胁之一。近期,卡巴斯基实验室分享了GlobeImposter勒索软件变种过程以及GlobeImposter勒索软件如何对抗安全厂商传统技术的详细分析。
GlobeImposter勒索软件变种过程:
GlobeImposter最早2016年12月就已出现, 比如
dd5dab06218a89880a9a92a4c8fd350e44c7064f5191b50af54e7a82b118aa4c
在2016年12月12日被发送至Virus Total分析

后经过演化,在2017年中GlobeImposter的传播速度开始迅速增长。在2017年第二季度已经进入勒索软件攻击总量排名前十位:

到了2017年第三季度,GlobeImposter更是上升到了勒索软件攻击总量排名的第三位:

GlobeImposter 增速迅猛的一个重要原因是从16年下半年开始使用服务端多态混淆技术(或称为恶意软件私壳)。利用代码混淆,病毒作者可以片刻间为木马生成大量变体,这些变体间代码甚至图标都各不相同,可以躲避基于文件图标、文件哈希和文件代码特征的安全软件的静态检测。

GlobeImposter的外壳代码会在入口附近布置垃圾API序列,对抗基于静态API序列和导入表哈希的检测技术

入口附近的垃圾API序列
除对抗静态分析技术外,GlobeImposter的外壳代码还会利用长循环执行垃圾API尝试使安全厂商模拟器或沙箱因超时而放弃继续分析,从而对抗安全厂商的动态分析系统

长循环代码
废除掉安全软件分析中的各种武功后,外壳代码就可以放心地将勒索软件本体释放运行了。真正的勒索软件及其解压代码被使用加密后放在资源中,加密使用的是TEA加密算法

TEA解密算法片段及解密前后的代码
此时木马本身还处于压缩状态,用于压缩的算法为LZO。解密后的代码会将它解压并加载运行

作为加密文件型勒索软件,GlobeImposter运行后的主要工作就是加密文件。由于可执行文件也是GlobeImposter的加密目标,为防止系统瘫痪以及触发安全软件防御规则,GlobeImposter会避开一些目录名,不加密其中的文件,此外对于某些扩展名的文件它也不会加密

对于写有支付赎金获取解密方法的网页文件以及标识已加密文件的扩展名后缀,不同版本的GlobeImposter的名字也会不一样

之后GlobeImposter会使用RSA2048算法加密文件,并显示勒索信息

最后GlobeImposter还会执行批处理文件,删除远程桌面相关信息和文件并删除自身

从前面的分析我们可以看到,GlobeImposter使用了多种伎俩可以全面对抗安全厂商的各种传统分析技术。服务端的多态混淆可以瞬间生成海量可以躲避安全软件特征扫描的新样本。而反模拟、超时、沙箱环境检测等手段又可以使安全软件厂商的动态分析系统失效。当用户遭遇到一个全新样本的时候,可以说不把文件运行起来,安全软件是无法对文件做出判断的。而此时,安全软件的主动防御功能就成了唯一的防线。因此,卡巴斯基一直非常重视主动防御技术的发展并取得了令人骄傲的成果。对恶意软件行为模式的精准识别,使得卡巴斯基无惧恶意软件在文件层面的各种变形 。以GlobeImposter为例,2017年11月出现的样本baa812190f678e4c3cf2d3e4eb86448a,卡巴斯基使用2017年6月30日的数据库即可检测拦截。

卡巴斯基教你如何防范:
• 不要点击来源不明邮件、附件、链接;
• 及时安装更新系统补丁;
• 安装具有先进主动防御功能的杀毒软件、终端安全管理软件并及时更