這篇文章主要介紹了ProLock勒索軟件的示例分析，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

創(chuàng)新互聯(lián)建站-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比鳳凰網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式鳳凰網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋鳳凰地區(qū)。費(fèi)用合理售后完善，十年實(shí)體公司更值得信賴。

寫在前面的話

當(dāng)各個(gè)組織正忙于應(yīng)對全球疫情的時(shí)候，新一波的勒索軟件攻擊又悄悄開始了。這款名為ProLock的勒索軟件，是2019年底出現(xiàn)的PwndLocker勒索軟件的變種版本。PwndLocker的傳播時(shí)間非常短，主要是因?yàn)楹芏嘤脩舭l(fā)現(xiàn)解密文件所需的密鑰可以從惡意軟件本身來獲取，這樣就無需支付贖金了。但是，今年三月份出現(xiàn)的ProLock正好相反，因?yàn)槟繕?biāo)用戶在支付了贖金之后，接收到的卻是一個(gè)存在問題的解密工具，而這個(gè)解密工具將會(huì)損壞目標(biāo)用戶設(shè)備中已被勒索軟件加密的數(shù)據(jù)。

這種錯(cuò)誤可能與ProLock加密文件時(shí)所采用的異常方式有關(guān)，因?yàn)镻roLock在加密文件時(shí)，會(huì)跳過小于8192字節(jié)的文件，并且會(huì)對第一個(gè)8192字節(jié)之后的大文件進(jìn)行加密。這樣一來，將導(dǎo)致文件部分可讀，部分被加密。

ProLock準(zhǔn)備工作

ProLock可以通過多種方式來獲取目標(biāo)網(wǎng)絡(luò)的訪問權(quán)，其中還涉及到一些第三方漏洞的利用。而且根據(jù)Group-IB的研究人員透露的信息，有一些ProLock受害者是通過QakBot銀行木馬所執(zhí)行的腳本感染的。FBI還指出，QakBot是ProLock的初始感染手段之一，除此之外還有利用網(wǎng)絡(luò)釣魚郵件和存在錯(cuò)誤配置的RDP服務(wù)器等等。研究人員表明，最早的ProLock入侵行為是通過遠(yuǎn)程桌面協(xié)議（RDP）連接來實(shí)現(xiàn)的。

ProLock攻擊著還會(huì)利用初始攻擊所獲得的訪問權(quán)限來進(jìn)行一些網(wǎng)絡(luò)偵察活動(dòng)，并在開始勒索軟件攻擊之前竊取一些用戶敏感數(shù)據(jù)。在研究的過程中，研究人員對目標(biāo)系統(tǒng)中存儲(chǔ)的四個(gè)與勒索軟件相關(guān)的文件進(jìn)行了分析，這些文件是從一個(gè)遠(yuǎn)程服務(wù)器下載下來的，相關(guān)的IP地址已經(jīng)作為入侵威脅指標(biāo)發(fā)布在了SophosLabs的GitHub庫中了：

C:\ProgramData\WinMgr.bmp

C:\ProgramData\WinMgr.xml

C:\ProgramData\clean.bat

C:\ProgramData\run.bat

ProLock攻擊鏈

ProLock惡意軟件依賴于Windows Batch腳本，Windows計(jì)劃任務(wù)（schtasks.exe）和PowerShell來發(fā)動(dòng)其攻擊。勒索軟件鏈由run.bat腳本文件作為起始，它會(huì)創(chuàng)建一個(gè)Windows任務(wù)并使用WinMgr.xml來配置任務(wù)，然后執(zhí)行clean.bat腳本。當(dāng)該腳本由計(jì)劃任務(wù)執(zhí)行之后，clean.bat將會(huì)執(zhí)行一個(gè)Base64編碼的PowerShell腳本，并從一個(gè)名叫WinMgr.bmp的圖片文件中提取出ProLock的可執(zhí)行文件，然后將其加載進(jìn)內(nèi)存中并執(zhí)行。

下圖顯示的是clean.bat中嵌入的部分Base64編碼腳本代碼：

下圖顯示的是WinMgr.bmp中的部分腳本代碼：

下圖顯示的是WinMgr.bmp的圖形內(nèi)容，其中隱藏了ProLock惡意軟件Payload，這里使用了隱寫術(shù)：

ProLock樣本分析

我們在分析一個(gè)ProLock樣本時(shí)發(fā)現(xiàn)，它使用了一段自修改的代碼來隱藏了去中的部分內(nèi)容，這段代碼隱藏了部分文本字符串和其他元素。正如惡意軟件開發(fā)中常見的那樣，ProLock程序被故意設(shè)置為不允許調(diào)試，從而使研究人員更難通過受控的方式來運(yùn)行它。

下圖顯示的是惡意軟件樣本執(zhí)行過程中的部分混淆代碼：

下圖顯示的是ProLock二進(jìn)制文件自修改前后的代碼對比：

接下來，代碼會(huì)對其自修改的部分進(jìn)行解碼，導(dǎo)入DLL，并設(shè)置好其需要使用的功能函數(shù)。設(shè)置完成后，便會(huì)開啟一個(gè)新的線程，然后將第一個(gè)線程設(shè)置為休眠（一種反分析技術(shù)）。隨后，惡意軟件將遍歷目標(biāo)設(shè)備的注冊表以尋找潛在的安全策略設(shè)置。出于某種原因，惡意軟件會(huì)將IE瀏覽器的安全策略設(shè)置進(jìn)行修改，關(guān)掉IE的通用命名約定路徑，并啟用自動(dòng)Intranet映射，然后開始尋找可能會(huì)阻礙數(shù)據(jù)加密/銷毀的應(yīng)用程序以及服務(wù)。

通過調(diào)用Windows的CreateToolhelp32snapshot.dll，惡意軟件還會(huì)存儲(chǔ)所有正在運(yùn)行進(jìn)程的快照，并通過對照一個(gè)內(nèi)置列表來進(jìn)行進(jìn)程檢查，然后試用taskkill.exe實(shí)用工具來關(guān)閉所有與該列表匹配的進(jìn)程，比如說一些Microsoft Office程序、Firefox瀏覽器、Thunderbird郵件客戶端以及安全軟件組件等等。勒索軟件會(huì)終止這類進(jìn)程，以確保用戶文件沒有處于鎖定或打開狀態(tài)，從而實(shí)現(xiàn)數(shù)據(jù)的成功加密。

接下來，惡意軟件將會(huì)試用net.exe來嘗試關(guān)閉與企業(yè)應(yīng)用程序、安全軟件和備份軟件相關(guān)的150多種服務(wù)和進(jìn)程。這一操作的目的同樣是為了排除數(shù)據(jù)加密的其他干擾因素。

然后，為了防止本地文件恢復(fù)，ProLock將會(huì)通過執(zhí)行下列命令來刪除本地文件的“卷影副本”vssadmin.exe文件（Windows的卷影復(fù)制服務(wù)）：

delete shadows /all /quiet

resize shadowstorage /for=c: /on=c: /maxsize=401MB

resize shadowstorage /for=c: /on=c: /maxsize=unbounded

注意事項(xiàng)：勒索軟件針對的進(jìn)程和服務(wù)的完整列表發(fā)布在SophosLabs的GitHub上【傳送門】。

此時(shí)，當(dāng)目標(biāo)主機(jī)上所有的安全防護(hù)措施都已經(jīng)失效之后，勒索軟件將會(huì)開始檢測目標(biāo)主機(jī)上所有已加載的存儲(chǔ)介質(zhì)，并遍歷本地或網(wǎng)絡(luò)驅(qū)動(dòng)器的目錄結(jié)構(gòu)，這一部分操作都是通過powershell.exe進(jìn)程來實(shí)現(xiàn)的。

當(dāng)它每讀取到一個(gè)文件時(shí)，首先會(huì)檢查文件大小，如果文件小于8192字節(jié)（十六進(jìn)制為0x2000），則跳過該文件。否則，它將從8192字節(jié)之后開始加密文件。加密文件后，擴(kuò)展名.prolock會(huì)附加到其文件后綴之后。比如說，a_very_large_text_file.txt就會(huì)變成a_very_large_text_file.txt.prolock。

下圖顯示的是PreLock加密后的文件截圖：

下圖顯示的是文件加密前后的數(shù)據(jù)對比：

當(dāng)勒索軟件完成每個(gè)目錄內(nèi)的文件加密之后，它會(huì)將一個(gè)名為[HOW TO RECOVER FILES].TXT的文件寫入到目錄內(nèi)，該文件包含的就是勒索信息。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“ProLock勒索軟件的示例分析”這篇文章對大家有幫助，同時(shí)也希望大家多多支持創(chuàng)新互聯(lián)，關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來學(xué)習(xí)!

當(dāng)前題目：ProLock勒索軟件的示例分析
分享URL：http://jinyejixie.com/article36/jjespg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應(yīng)網(wǎng)站、網(wǎng)站制作、全網(wǎng)營銷推廣、網(wǎng)站建設(shè)、網(wǎng)站導(dǎo)航、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)