首頁 > 資安知識庫 > 系統與平台安全 > 作業系統與平台安全

遠銀惡意程式事件分析與觀察

作者:資策會資安科技研究所 -2017 / 12 / 15 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

我們在本篇文章中,透過分析駭客所使用的惡意程式具備的功能來釐清駭客的手法,並還原過程來了解事情的來龍去脈。下列表格為此次用來作攻擊的惡意程式的檔案資訊,而接下來,將會進一步的討論這幾支程式的分析。 


Bitsran.exe用於建立後門、加密系統檔、內網擴散
此惡意程式主要有兩個行為,其一是利用遠端系統帳號執行此惡意程式,建立後門並加密檔案。
確保後門以及加密檔案的行為,就算是電腦關機後再開啟依然能夠執行。


圖1 機碼註冊值

圖1,此程式部分為將自己寫進HKLM的機碼註冊值中。

執行動作期間,惡意程式會將當前記憶體資訊都暫存檔儲存成一個名為RSW1010.tmp。這個舉動可能是為了將當前記憶體裡的資料刪除或加密抹除掉,因此不容易讓鑑識人員能夠輕易剖析出駭客的手法。在動態分析時,有發現到RSW1010.tmp。內容被加密後遺留在圖示的所標示的位置上。


圖2 暫存檔路徑

圖2,此程式部分是將執行自己時產生的暫存檔儲存成RSW1010.tmp。並存在C:\windows\temp\底下。
而當所有的任務結束後,會將電腦裡的檔案改變附檔名,使電腦裡的檔案都無法正常開啟使用。


圖3 bitsran.exe執行路徑 

圖3的程式是將改變檔案的副檔名,在檔名後直接加上底線。
在加密完全部檔案後,為確保能對後來進入的檔案進行加密,所以在系統中建立一個排程持續對新進來的檔案進行加密。

圖4 bitsran工作排程

圖4所示,從每天的0:00~23:59執行一次

另外此惡意程式特別的是,帳號以及密碼都已經預設在程式內。


圖5 FEIB登入帳密

圖5是以ollydbg載入記憶體做動態分析。可以看到FEIB的2組登入帳號及密碼,分別為FEIB\SPUSER14,密碼為 ******vgy7;FEIB\scomadmin,密碼為 ********adM。
在分析到此處時,有個值得思考的點。程式中的帳號以及密碼都是預設好的,也就是說,他在使用此勒索病毒之前早就知道了帳密資料。那他只要將錢轉走就可以直接離開就行了。因此能夠猜測出,此勒索程式不如同其他事件是以加密機敏資料勒索錢財為目的。而可能的原因只是用來將自己入侵的相關資料加密起來,不讓鑑識人員輕易的找到線索。

1
推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…