首页
论坛
课程
招聘
[原创]Conti勒索软件分析
2022-3-20 18:06 10002

[原创]Conti勒索软件分析

2022-3-20 18:06
10002

前言

此样本收集自网络,旨在通过逆向分析研究勒索软件的行为特点,样本在附件中,感兴趣的可以自行下载分析,但由此造成的一切损失与本人无关,由下载者自行承担由此出现的一切后果。

 

Conti勒索组织(又名勒索病毒 IOCP),Conti出现于2019年,是一个非常活跃的勒索团伙,本次分析的样本就出自该团伙之手。

一、 样本基本信息

图片描述

 

导入表显然有鬼,怎么可能只有这么点东西
图片描述
资源中发现勒索信息
图片描述

二、IDA和OD结合分析

2.1 通过定位WinMain函数,发现样本先是调用sub_401000获取了大量关键函数,然后创建互斥体防止勒索病毒重复运行,接着获取资源中的勒索信息。
 

图片描述
sub_401000函数内部
病毒对动态链接库以及WindowsAPI进行了加密,严重干扰分析
图片描述
使用GetProcAddress和LoadLibrary获取指定函数地址(一些病毒的常规操作),达到隐形调用API的目的,这也是在导入表中看到只有那么点信息的原因
图片描述

 

我们来通过OD动态调试进行验证
解密动态链接库
图片描述
解密API字符串
图片描述
通过LoadLibrary和GetProcAddress获取关键函数
图片描述

2.2 通过删除系统卷影副本以及关闭大量影响文件加密的服务和进程为接下来顺利加密文件做准备
 

图片描述
删除全部卷影副本
图片描述
禁用影响勒索病毒加密文件的服务
图片描述
图片描述
关闭影响勒索病毒加密文件的进程
图片描述

2.3 通过异步I/O操作(IOCP)的方式实现高并发多线程对文件进行快速加密。这也是Conti组织又被称为IOCP的原因??
 

关于IOCP请点击IOCP
图片描述
重点看文件加密函数
循环创建线程执行文件加密函数 sub_417DF0
图片描述

 

sub_417DF0函数内部
图片描述
图片描述

 

先使用CryptAcquireContext函数用于获取特定加密服务提供程序(CSP) 中特定密钥容器的句柄。
图片描述
CryptImportKey导入密钥
图片描述
CryptGenKey生成随机加密会话密钥或公钥、私钥密钥对
图片描述
CryptExportKey 从加密服务 (CSP) 导出加密密钥或 密钥对
图片描述
使用CryptEncrypt函数对文件内容进行加密,在左下角的内存窗口可以看到原始数据
图片描述
调用CryptEncrypt函数加密后
图片描述
把加密后的内容写入原始文件中
图片描述

 

解密后缀名 CONTI
图片描述

 

把原始文件名和解密的CONTI进行拼接,组成新的文件名
图片描述
把原文件直接覆盖掉
图片描述
图片描述
最后将密钥释放
图片描述

2.4 释放勒索文档
 

图片描述
解密勒索文档文件名
图片描述
在各个文件夹下创建勒索文档,并写入勒索信息
图片描述
图片描述

三、总结

Conti勒索病毒运行后先调用cmd命令关闭了大量的影响文件加密服务以及应用程序,如 SQL Backups、SQLsafe Backup Service、SQLsafe FilterService等等;然后删除了系统卷影副本,防止受害者恢复文件;删除计算机的本地备份文件;然后采用采用并发线程对文件进行快速加密,Conti采用的加密方式为AES-256,被加密文件在未得到密钥前无法解密;将加密后的文件名追加CONTI后缀名;并在系统的各个文件夹下创建勒索文档,文档中包含勒索说明和联系邮箱等;


2022 KCTF春季赛【最佳人气奖】火热评选中!快来投票吧~

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (8)
雪    币: 373
活跃值: 活跃值 (960)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
寒江独钓_ 活跃值 2022-3-20 18:08
2
0
解压密码Tx797;S_72[$vd9
雪    币: 217
活跃值: 活跃值 (243)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dayang 活跃值 2022-3-24 08:32
3
0
图片模糊不清,看不到
雪    币: 296
活跃值: 活跃值 (85)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
luohaohao 活跃值 2022-3-28 15:37
4
0
学习学习!谢谢!
雪    币: 872
活跃值: 活跃值 (204)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Barrientos 活跃值 2022-3-28 19:06
5
0
他们的源码泄露了,你可以找一下
雪    币: 129
活跃值: 活跃值 (875)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
niuzuoquan 活跃值 2022-3-28 23:42
6
0
mark
雪    币: 217
活跃值: 活跃值 (243)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dayang 活跃值 2022-4-24 08:00
7
0
V3 版本中,没有发现关闭SQL等软件的代码,可能你这个样本比较新
雪    币: 15
活跃值: 活跃值 (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
右脸微笑 活跃值 2022-5-1 20:33
8
0
您关于这个勒索的补充分析没有了,还没来得及看完
雪    币: 428
活跃值: 活跃值 (209)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hackerbob 活跃值 2022-5-1 21:55
9
0
那个加密函数第一张图太模糊了,看不清
游客
登录 | 注册 方可回帖
返回