LockyDump-我们掌握所有配置信息.PDF

2 0 1 6 年 1 0 月 1 3 日，星期四 LockyDump - 我们掌握所有配置信息 作者：Warren Mercer 和Matthew Molyett 摘要 自从在2016 年2 月出现以来，Locky 不断演变。由于该恶意软件本身具有的一些特征以及散 布方式不断改变，跟踪它有时变得非常困难。负责Locky 的人员着眼于跟踪使用该勒索软件 的联属机构，尝试不断改善运营安全(OPSEC)。本文介绍Talos 发布的一个新Locky 配置提 取程序，名为“LockyDump”。这是首个可转储目前已知的所有Locky 变体（例如基 于.locky、.zepto 和.odin 的勒索软件）使用的配置参数的开源工具。 利用LockyDump，您可以在虚拟环境中运行已知的Locky 样本，从而提取和提供该样本的所 有配置信息，包括与该样本相关联的AffilID 。Locky 的最新变体让此提取过程变得越来越难 以完成。此配置提取过程发生变化后，Talos 希望能够通过反向处理更多Locky 样本，尝试 获取所有重要AffilID 信息。获取每个样本的联属信息后，能够实现跟踪Locky 联属的历史信 息，从而确定每个联属的趋势和其他特征，比如确定首选的主要散播方式（例如通过使用漏 洞攻击包[EK] 或通过垃圾邮件/网络钓鱼邮件）。 配置提取详细信息 Talos 制作了一个适用于Locky 的配置提取工具（支持Locky 现有的所有版本，即 Zepto/Odin）。利用该工具，您可以提取硬编码到恶意二进制文件中的以下配置参数。 LOCKYDUMP 要求 LockyDump 是PE32 Windows 二进制应用，用于提取Locky 系列恶意软件中嵌入的配置。 恶意软件必须执行，LockyDump 才能从内存中提取这些值。分析环境因此被限制为 Windows 系统且应能受到Locky 危害。 LOCKYDUMP 过程方法 Locky 以Win32 可执行文件和DLL 形式散播。因此，我们制作的LockyDump 利用两种单独 的分析方法。DLL 文件开头使用LoadLibrary 启用脱壳程序，从而显示Locky 代码并让初始 化代码解密配置。配置解密后，LockyDump 会找到解密的配置并将其打印到标准输出。 以EXE 文件形式提供的Locky 版本需要使用不同的分析方法，其实现形式是通过配置为用于 调试的 LockyDump 执行恶意软件。LockyDump 在检测到真正的代码之前允许恶意软件运行， 并在检测到真正的代码之时冻结恶意软件。然后，LockyDump 找到配置信息并将其打印到标 准输出。 可选功能： 通过启用下列可选功能，在运行LockyDump 时可以从Locky 样本中提取更多信息。这些可 选功能使用Windows 环境变量配置，您可以在执行LockyDump 之前设置： set LOCKY_DUMP_VERBOSE=1 set LOCKY_DUMP_SAVE=1 详细输出- Locky 配置包含两个模板：一个用于勒索信图像，一个用于勒索信HTML。默认情 况下，LockyDump 不会打印这些字段，因为这会显著增加输出的大小。如果存在环境变量 LOCKY_DUMP_VERBOSE，两个勒索模板都会打印到标准输出。 Locky 脱壳- Locky 二进制文件受多种加壳程序保护，这让静态分析变得难以进行。设置环境 变量LOCKY_DUMP_SAVE 后，已脱壳的Locky 文件会在当前工作目录中被另存为 DUMPED_IMAGE.DLL。该进程文件将始终为“DUMPED_IMAGE.DLL”。 执行说明 利用LockyDump，用户可以创建Microsoft Windows 虚拟实例，在其中置入已知Locky 样 本，然后针对该样本运行LockyDump。强烈建议使用虚拟环境，因为LockyDump 需要执行 Locky 才能从内存中提取配置信息。 通过命令行执行LockyDump 所用的语法如下： LockyDump.exe sample.exe [样本参数] 该命令将针对您指定的样本运行LockyDump。通过用“set”命令配置本地环境变量，可以 设置上文介绍的可选功能。根据需要设置任意可选功能后，只需照常运行 LockyDump 即可： 源代码 可从我们的GitHub 上获取LockyDump 源代码。为方便用户使用，我们既提供源代码，也提 供编译的二进制文件。 LockyDumpexe SHA256 ： d49fd