ThunderCrypt 弱分析 伊莉特仕版

最近 Eyny 論壇爆發勒索軟體中毒潮,官方稱系統遭到攻擊置入惡意代碼,我也拿到了傳說中的 Flash Player 安裝程式,於是來一探究竟。

先講結論,這次真的不是你更不更新系統就不會中毒,要更新的可能是你的腦袋。

這次感染勒索軟體的途徑不是神奇的開了網頁就中毒,而是百分之百使用者自己下載自己安裝的。因為黑客在論壇植入了假的 Flash Player 更新通知,利用大家對 Flash Player 更新的信任,於是自己把惡意程式帶回家中,還讓他在家裡跑。加上整個安裝程序根本就是原版的,只是被重新包裝塞入惡意代碼,所以根本不知道自己已經中標。

在執行這個安裝程式後,會自動建立一個排程,並且於每次登入時執行。

另外也會新增一個登錄值,是一個 base64 編碼的字串,前後填充空白以讓編輯器顯示空白。

很快的就能發現他利用 PowerShell 來執 payload,有一大串 base64 編碼的參數被傳給 PowerShell。經過解碼與重新命名,可以發現 ThunderCrypt 的代碼都是在記憶體中執行的,整個過程除了 PowerShell 外,不會另外產生 ThunderCrypt 的檔案。登錄檔中的資料是編碼過的 payload,內含 32 位元以及 64 位元的 native payload,經由 PowerShell 代碼解碼後寫入記憶體中執行。

下圖顯示判別位元數並解碼對應的 payload,其中 $MyRegPath = "HKLM:\Software\Microsoft\Windows\CurrentVersion\Shell"; $MyUUID = "{A48209E7-FBD5-56B9-B26561F44C9DF968}";

其他的 PowerShell 代碼在做的就是將 payload 寫入記憶體、建立一個 Delegate 以執行非託管代碼,並執行它。把 payload dump 下來後就能再繼續做靜態分析,我想後續還是交給專業的安全人員來做就好了。

啊我的分析只到這邊,加上平常我也沒在關注病毒,只是剛好從朋友那拿到傳說中的安裝程式而已,所以本文並不是一個完整正確的分析,歡迎各路大神入鞭!

以下白話文

如何預防?

  1. 檢查有效的數位簽章。在下載任何程式後,如果你要安裝的東西是大廠發佈的,那請務必檢查是否有有效的簽章,這次的 Flash Player 就沒有 Adobe 的簽章,顯然是被動過手腳。而平時下載的小程式,很可能作者跟我一樣窮,沒買簽章,這時候就只能靠你自己判別了。
  2. 防毒軟體不是萬能。這次的中毒途徑就很難被防毒軟體偵測,你可能會需要具有啟發式偵測能力的安全軟體,但是安全跟便利是無法兼備的,你勢必會需要做許多的允許、封鎖程式行為的操作。
  3. 要有危機意識。當你知道你已經禁用了 Flash Player,這時候網頁又叫你更新,就是一件很可疑的事情。危機意識是靠平時的培養,可以多多爬文看各路大神的建議。