可以做3d电影网站,软件合集,wordpress中文排版,永康高端网站设计0. Conti介绍
勒索软件即服务#xff08;Ransomware as a Service#xff0c;RaaS#xff09;变体 Conti 推出还不到两年#xff0c;已经进行了第七次迭代。Conti被证明是一种敏捷而熟练的恶意软件威胁#xff0c;能够自主和引导操作#xff0c;并具有无与伦比的加密速度…0. Conti介绍
勒索软件即服务Ransomware as a ServiceRaaS变体 Conti 推出还不到两年已经进行了第七次迭代。Conti被证明是一种敏捷而熟练的恶意软件威胁能够自主和引导操作并具有无与伦比的加密速度。截至 2021 年 6 月Conti独特的功能集已帮助其附属公司从 400 多个组织勒索数百万美元。
1. Conti攻击概述
Conti的行为与大多数勒索软件类似但它经过精心设计更加高效且更具规避性。具体来说Conti在混淆能力、运行速度以及文件加密方面进行持续优化其主要特征包括
混淆能力提升自早期的Conti2019 年末通过简单的 XOR 机制来隐藏在运行时解析的 API 名称。从2020年6月开始Conti还采用了字符串混淆的自定义编码函数。
运行速度提升Conti使用多达32个并发CPU线程进行文件加密操作并且从2020年9月开始Conti将加密算法从AES切换为CHACHA。
文件加密优化2020年9月后Conti添加了新的文件加密逻辑部分加密。2021年1月后Conti在加密过程中引入C 队列和锁取代了原先使用的IoCompletionPorts。
2. 勒索软件影响
Conti由所谓的TrickBot团伙开发和维护主要通过RaaS隶属模式运营。Conti勒索软件源自Ryuk的代码库并依赖于相同的TrickBot基础设施。Conti 样本于 2019 年 10 月左右首次出现截至2021年6月已经发生399 起Conti攻击攻击事件统计如下图所示。 3. 勒索软件演进
测试版本
导入函数Conti使用LoadLibraryA和GetProcAddress手动链接导入函数所有 API 的名称均使用字节0x99进行简单的XOR编码。此版本中未对DLL的名称进行编码除了一些来自Rstrtmgr.dll的可选导入之外。除此之外GetProcAddress函数最终会确保它拥有它正在寻找的所有强制API。否则它使用 ExitProcess退出程序。
加载资源Conti会加载 PE 文件中的两个资源。第一个将用作赎金票据的文本在最早的版本中设置为“测试票据”而第二个是用逗号分隔的字符串列表通过这些字符串可以过滤目标文件。这允许对上述资源进行简单修改可以实现定制化的勒索攻击而无需重新编译勒索软件。
加密前操作Conti首先通过命令行(所有命令字符串均通过字节 0x99 进行异或编码)删除系统驱动器上的卷影副本之后通过命令行停止系统上约170项服务然后迭代系统上正在运行的所有进程并终止“sql”相关的进程。完成上述操作之后Conti查询系统中处理器的数量并创建两倍于处理器数量的IoCompletionPort与处理器数量的线程。
目标文件获取Conti在创建线程后Conti查找系统上所有驱动器并运行其逻辑目标文件过滤来选择每个驱动器上的目标文件。遍历所有驱动器后Conti使用所有线程从GetIpNetTable返回所有IP地址对每个IP地址调用NetShareEnum获取网络共享列表并获取目标文件。
文件加密Conti的文件加密主要通过其迭代函数与加密函数实现1迭代函数会获取一个文件夹作为参数并通过FindFirstFile API搜索文件夹中的所有文件。2加密函数首先从PE文件数据部分加载RSA公钥之后从IoCompletionPorts中获取目标文件路径然后通过AESRSA对目标文件进行混合加密最后将文件的扩展名改为“.CONTI”并对下一个目标文件进行加密。
正式版本
目标文件获取Conti在以迭代的方式在各驱动器上并行搜索目标的文件。具体来说Conti会为每个驱动器创建一个新线程并以驱动器根路径作为参数通过迭代函数获取目标文件。这是一个很好的补充可以提高速度。
文件加密Conti在以前的版本中加密的 AES 密钥和原始文件大小都在加密之前写入文件的末尾。然而在此版本中只有在文件完全加密后才会写入原始文件大小。
改进版本v1
命令行参数Conti引入加密模式、网络位置等命令行参数方便攻击者实施自定义勒索攻击。
函数导入Conti使用自定义编码函数代替简单的单字节 XOR且更多字符串被混淆。
加密前操作Conti减少了 36 个服务的停止创建互斥体以避免不同实例之间的相互干扰。
目标文件获取Conti通过GetIpNetTable中的本地IP如192.168.*查找共享文件。
改进版本v2
命令行参数FAdded支持对其他命令行参数的支持。在此版本中可以将目录列表指定为搜索要加密的感兴趣文件的目标。此外可以给出一个日志记录标志尽管它直到更高版本才实现。
函数导入在大多数情况下Conti 不会嵌入 DLL 的普通名称及其所需的导出而是仅保留所需字符串的哈希值。通过哈希仅找到 kernel32.dll。其余的 DLL 名称嵌入在可执行文件中现已进行模糊处理并使用 LoadLibraryA API 加载。选择的 API hash函数是 Murmur2A8其常量种子设置为 0x5B2D用于小写 ASCII 字符串。
新实现的钩子删除逻辑在加载所有必要的 DLL 后发生。对于每个加载的 DLLConti 会读取磁盘上的文件并遍历其中的所有导出查找前几个字节的差异。如果在磁盘版本和内存版本之间发现任何此类差异则内存中的字节将被从磁盘读取的字节替换。钩子删除函数中使用的 API 是通过加载时链接的 LoadLibraryA 和 GetProcAddress 获取的这又是一个新添加没有经过将 API 切换为运行时加载的 API 的重构。
加载资源这两个资源已被删除。勒索字条内容已移至可执行文件的数据部分同时删除了加密特定文件模式而不是默认文件模式的功能。我们推测作者发现后一个功能不值得支持因为我们从未见过它在实践中使用。
加密前操作删除服务的能力已被删除。允许删除卷影副本的功能以不同的方式实现在本示例的逻辑中更进一步。如果选择本地加密模式该示例将通过使用 WMIC9 运行命令来删除在 ROOT\CIMV2 上查询 Win32_ShadowCopy 时找到的卷影副本。与之前使用 vssadmin10 删除固定数量的驱动器相比这些驱动器可能启用也可能未启用卷影副本甚至可能未安装在磁盘上甚至可能会丢失带有卷影副本的驱动器。
重新实现已删除的功能为从 IoCompletionPorts 读取而创建的线程数量又恢复到基于系统上可用处理器的数量。这次它取决于勒索软件的执行模式在指定“仅本地”或“仅网络”加密的情况下为每个处理器创建一个线程如果同时使用两种模式则创建两倍的线程。有趣的是此版本中的重新实现使用了从 GetNativeSystemInfo 查询返回的错误值使用 dwActiveProcessorMask 而不是 dwNumberOfProcessors。这个小bug在后续版本中得到修复。
目标文件获取“169.*”形式的地址被添加到 IP 地址列表中以搜索共享。现在使用 inet_ntoa API而不是使用 InetNtopW 将地址转换为宽字符串使字符串只有字节大小。不是执行 32 个线程来搜索这些 IP 地址上的共享而是只有一个线程在做脏活。
在寻找网络共享的过程中还有一项额外的检查。首先使用恶意软件手动创建的套接字检查地址是否有 445 上的开放端口。然后仅对应答检查的 IP 调用 NetShareEnum API。此更改应该会减少在没有任何地址的地址上查询共享的噪音。
文件加密不同的文件采用不同的逻辑进行加密。我们有一个包含 171 个扩展名的新列表其中文件的全部内容都被加密然后还有另一个包含 20 个扩展名的列表其中仅对文件的某些部分进行了加密。最后其余文件按大小进行分类。
加密算法由AES改为ChaCha。密钥仍然是按文件随机生成的并在使用二进制文件数据部分中嵌入的 RSA 公钥加密后写入文件末尾。
加密文件的扩展名已从 .CONTI 更改为 .YZXXX这可能有助于避免根据已知的扩展名更改检测到勒索软件。
4. 勒索软件分析
2022年Conti源码泄露通过深入分析Conti源码可以很好的回答下面几个问题
Conti勒索软件与其他勒索软件有什么不同Conti勒索软件如何逃避静态分析和EDR系统的检测Conti勒索软件使用那种哈希算法实现字符串、库以及API的混淆Conti勒索软件使用了哪些库和APIConti勒索软件使用那种加密算法对目标文件进行加密Conti如何实现Windows卷影副本的删除和网络分享文件的加密
