天融信阿尔法实验室 » 样本分析

BadRabbit勒索蠕虫样本深入分析

漏洞应急响应中心 — Thu, 26 Oct 2017 06:03:27 +0000

天融信.阿尔法实验室李喆李燕春

一、BadRabbit事件描述

1.1. 相关背景

Petya 勒索软件刚过去不久，又出现了新的一款勒索软件BadRabbit，因为其相似性很可能是同一作者，跟Petya不同的是，它是利用对账号密码硬编码后进行smb暴力破解，并没有用到永恒之蓝漏洞。

另一点不同的是，他们初始化不同，伪装一个假的flash 更新包骗取用户下载，然后执行释放恶意程序。在详细介绍流程之前，先看看一些其他参数。

1.2．样本md5列表

1.3．其他情况介绍

二 BadRabbit 复现

2.1 主机重启后的提示：

2.2[......]

Xshell后门技术分析

sys_cc — Tue, 15 Aug 2017 09:38:58 +0000

天融信.阿尔法实验室陈思远

一、事件描述

1.1事件背景：

Xshell是一个强大的安全终端模拟软件，它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。Xshell 通过互联网到远程主机的安全连接以及它创新性的设计和特色帮助用户在复杂的网络环境中享受他们的工作。 Xshell开发公司NetSarang发布公告称，2017年8月4日与卡巴斯基工程师发现Xshell软件中存在后门。黑客似乎入侵了相关开发人员的电脑，在源码植入后门，导致官方版本也受到影响。并且由于dll文件已有官方签名，众多杀毒软件依据白名单机制没有报毒。

1.2时间[......]

Petya勒索病毒技术分析

漏洞应急响应中心 — Wed, 28 Jun 2017 09:00:46 +0000

天融信.阿尔法实验室李喆李闪王宇晟崔伟鹏李燕春

一、petya事件描述

1.1 漏洞背景在2016年的三月到4月，petya恶意勒索软件开始传播，相对于其他勒索软件进行一个个文件加密不同的是，它采用了修改Master Boot Record(MBR) 启动引导阻止用户进入系统，并引导进了一个很小的恶意内核系统，然后再进行加密。在2017年 6月27日晚上，根据国外报道消息，新的变种petya出现了，它在和旧版本的区别是采用了office word文档漏洞（CVE-2017-0199），通过发送邮件的方式进行传播，用户打开恶意邮件触发漏洞后[......]

EternalRocks（永恒之石）蠕虫样本深入分析

漏洞应急响应中心 — Wed, 24 May 2017 12:45:37 +0000

阿尔法实验室李喆李闪陈思远

一、背景介绍

近日自勒索蠕虫WannaCry之后又有一种新的蠕虫EternalRocks（永恒之石）通过SMB进行了攻击传播，同样是利用了NSA工具，EternalRocks利用了ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY四个NSA的SMB漏洞利用工具，同时具备了漏洞扫描工具SMBTOUCH和ARCHITOUCH ，还有一个后门感染工具DOUBLEPULSAR。天融信阿尔法实验室经过样本分析判断，虽然蠕虫永恒之石不具备主动恶意破坏功能，但是在会在感染设备上留[......]

WannaCry 勒索蠕虫变种样本分析报告

漏洞应急响应中心 — Mon, 15 May 2017 07:35:32 +0000

阿尔法实验室李喆

概述：

阿尔法实验室对Wannacry 新出现的变种样本做了进一步分析，本报告主要对比新出现的样本和之前分析过的样本做了功能对比分析。分析新出现的样本是否具备其他恶意功能，是否需要在防护上做进一步处理。上一篇的样本分析可以看这里： http://blog.topsec.com.cn/?p=2230

WannaCry 样本介绍

样本介绍：在我们之前的分析中，我们分析的是这次新出现的样本为:

变种1对比分析：

首先我们先拿我们之前分析的样本和变种1 做了一个对比发现只是修改了一下域名开关：我们可以看到2E[......]

WannaCryptor 勒索蠕虫样本深度技术分析_阿尔法实验室

漏洞应急响应中心 — Sat, 13 May 2017 13:08:18 +0000

阿尔法实验室李喆李燕春一、 WannaCryptor 是如何传播？ WanaCrypotor在几周之前就被发现了，但是这款恶意勒索软件传播速度没那么严重，是什么造成了传播如此之快? ETERNALBLUE ，永恒之蓝，这个是影子经纪人泄露的NSA攻击工具，攻击window的smbv1协议，端口为445，在公网上这个端口基本屏蔽了，但是有些教育网还有内网是开放的。给 WannaCrypotor 带来了便利，因为其功能的影响性影响了很多设备。二 Wanna Decryptor 是如何加密一个电脑？ 2.1 开始工作当一款电脑被Wann[......]

IOT后门程序Marai样本技术分析

漏洞应急响应中心 — Fri, 28 Oct 2016 05:43:22 +0000

天融信阿尔法实验室雨夜

最近发生了多起DDOS攻击事件，调查发现攻击源头是大量的物联网设备，大多设备被一款名为“ELF Linux/Mirai”的新型ELF木马后门攻占，全球由其控制的BOT多达500万以上。Mirai能够感染多种存在漏洞的物联网设备，其中包括安保摄像头、DVR以及互联网路由器等。通过恶意感染，这些物联网设备将成为僵尸网络中的肉鸡，并被用于实施大规模DDoS攻击。

一、Marai感染IOT设备的方法

搜索存在弱口令IOT设备
Marai使用61组用户名密码组合暴力破解存在弱口令的IOT设备
登陆telnet成功以后，远程下载IOT设备架[......]

locky勒索软件恶意样本分析2

漏洞应急响应中心 — Tue, 05 Apr 2016 04:02:45 +0000

阿尔法实验室陈峰峰、胡进

前言

随着安全知识的普及，公民安全意识普遍提高了，恶意代码传播已经不局限于exe程序了，Locky敲诈者病毒就是其中之一，Locky敲诈者使用js进行传播，js负责下载外壳程序，外壳程序负责保护真正病毒样本，免除查杀。本文主要对Locky外壳程序和核心程序做了一个分析，来一起了解Locky代码自我保护的手段以及核心程序对文件加密勒索过程的分析。

一样本基本信息

Js下载者：f16c46c917fa5012810dc35b17b855bf.js 外壳：e7c42d7052e59db13d26e3f3777d04af.exe 核心程序：[......]

locky勒索软件恶意样本分析1

漏洞应急响应中心 — Tue, 29 Mar 2016 10:14:40 +0000

1 locky勒索软件构成概述

前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本，简要做如下分析。样本主要包含三个程序: A xx.js文件：Jscript脚本文件，以脚本形式存在主要用于邮件传播和方便免杀杀毒软件，用于联网下载PE1 B PE程序（PE1）：外壳程序，主要负责解密内存load PE2。 C PE程序（PE2）：功能代码存在于该文件，主要负责和C&C服务器通讯获取加密密钥，遍历磁盘驱动器使用crypt系列windows函数对文件加密。 PE1 PE2

2 locky勒索软件行为分析

2.1 xx.js行为简要分[......]

Juniper ScreenOS认证后门简析

漏洞应急响应中心 — Mon, 21 Dec 2015 10:28:59 +0000

1 ScreenOS后门漏洞背景介绍

之前也多次爆出过路由器的后门漏洞，但大都是厂商故意为之并且厂家的开发人员也都是知情的。一般来说一些网络设备，如交换机或者路由器等设备，开发人员为了方便自身验证，日后的程序升级或者输出观察调试日志可能会在网络设备上预留一个万能密码或者在固件中内置一个TFTP或者FTP的服务。通过更改http发包数据中的User-Agent值或者直接使用万能密码即可登录该网络设备，这次暴露出ScreenOS的后门便属于一个万能密码类型的后门。 12月18日Juniper发了一个报告，由 Juniper Networks 销售的部分型号的防火墙的中出现的漏洞，具体表现为[......]