重庆小潘seo博客

当前位置:首页 > 重庆网络营销 > 小潘杂谈 >

小潘杂谈

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

时间:2021-01-01 15:14:16 作者:重庆seo小潘 来源:互联网
一、事件背景 【勒索病毒样本】Scarab勒索病毒变种来袭。最近接到应急响应客户被勒索病毒攻击,深信服EDR安全团队捕获到相应的恶意样本,经分析确认此样本为Scarab勒索病毒变种样本

一、事件背景

【勒索病毒样本】Scarab勒索病毒变种来袭。最近接到应急响应客户被勒索病毒攻击,深信服EDR安全团队捕获到相应的恶意样本,经分析确认此样本为Scarab勒索病毒变种样本。

Scarab勒索病毒是利用Necurs僵尸网络进行传播,Necurs是世界上最大的僵尸网络之一,曾用于传播多个恶意家族样本,最新变种主要通过RDP爆破+人工植入的方式传播感染主机。

爆破的相关日志,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

二、样本分析

(1)样本通过GetKeyboardType获取当前用户键盘类型,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

(2)进行一连串的字符串解密操作,得到程序的一些加密配置信息等,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

(3)打开注册表项HKEY_CURRENT_USER\Software\ILRTISo,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

查询idle注册表项,是否设置,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

(4)拷贝自身到%APPDATA%\Roaming目录下,并重命名为sevnz.exe,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

通过CreateProcess调用cmd.exe命名执行:

/c copy /y [Virus文件名路径] %APPDATA%\sevnz.exe,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

病毒母体拷贝自身到%APPDATA%目录下sevnz.exe,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

(5)查询%APPDATA%目录下是否存在sevnz.exe程序,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

然后自己传入参数“runas”,并调用ShellExecuteW生成一个新的进程,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

(6)执行%APPDATA%目录下的sevnz.exe程序,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

(7)sevnz.exe通过CreateProcess调用cmd.exe命名执行:

mshta.exe javascript:o=newActiveXObject(‘Scripting.FileSystemObject’);setInterval(function(){try{o.DeleteFile(‘[FileName.exe]’);close()}catch(e){}},10);

删除母体文件,动态调试,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

(8)母体样本通过删除sevnz.exe,来判断之前的sevnz.exe是否启动,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

如果程序已启动,删除会失败,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

(9)当sevnz.exe在运行之中时,调用JavaScript脚本,将此进程添加到注册表的auto-run,相应的脚本命令:

mshta.exe“javascript:o=new ActiveXObject(‘WScript.Shell’);

x=newActiveXObject(‘Scripting.FileSystemObject’);

setInterval(function(){try{i=x.GetFile(‘sevnz.exe’).Path;

o.RegWrite(‘HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\ILRTISo’,i);}

catch(e){}},10);

动态调试跟踪,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

自启动项创建完成之后,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

(10)创建加密线程,执行勒索病毒的主要加密流程,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

(11)通过JavaScript脚本读取注册表项HKEY_CURRENT_USER\Software\JBGUJ中的键值,然后执行里面的命令,如下:

msftesql.exe是什么文件(Scarab勒索病毒变种来袭)

注册表项中相关的命令脚本如下:

o=new ActiveXObject("WScript.Shell");

o.Run("cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0",0);

o.Run("cmd.exe /c wmic SHADOWCOPY DELETE",0);

o.Run("cmd.exe /c vssadmin Delete Shadows /All /Quiet",0);

o.Run("cmd.exe /c bcdedit /set {default} recoveryenabled No",0);

o.Run("cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures",0);

通过上面的脚本命令,删除磁盘卷影文件,防止用户恢复文件

(12)启动线程,执行加密流程,如下:

(13)遍历主机进程列表,发现如下进程列表,则结束,相关的进程列表如下:

agntsvc.exe;isqlplussvc.exe;ncsvc.exe;msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlserver.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;mydesktopqos.exe;agntsvc.exeisqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;agntsvc.exeagntsvc.exe;agntsvc.exeencsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;

动态调试,得到相关的进程列表如下:

结束进程的代码如下:

(14)加密文件的主函数过程代码,如下:

(15)删除HKEY_CURRENT_USER\Software\JBGUJ注册表项的内容,如下:

\

(16)加密流程执行完成之后,原文件变为了scarab后缀的文件,如下:

\

同时弹出相关的勒索信息,如下:

\

三、预防措施

同时深信服EDR安全团队提醒用户:

1.不要点击来源不明的邮件以及附件

2.及时给电脑打补丁,修复漏洞

3.不从垃圾网站或不明网站下载软件

4.安装专业的终端/服务器安全防护软件

5.此勒索病毒变种主要通过RDP爆破的方式,建议用户及时修改密码