142期报告汇总
安天发布《Samsam 勒索软件新变种分析报告》
近日,安天 CERT(安全研究与应急处 理中心)在梳理网络安全事件时发现 SamSam 勒索软件开始活跃,它在新版本中增加了更 多功能和变化,使分析人员在检测和追踪时 更加困难。
Samsam 的新版本与早期版本有一些区 别,唯独有一件事没有变化:勒索软件的载 荷是动态解密的。这就是为什么找到实际的 有效载荷代码非常困难。新版 Samsam 有 5 个组成部分,其中 4 个是实体文件,第 5 个 由攻击者直接参与。组件 1 是一个批处理文 件,包含勒索软件的一些设置,它执行一 个 .NET 文件。攻击者使用密码作为其命令行参数来执行目标计算机上的批处理文件。 在旧版本中,这个批处理文件并不存在,攻 击者可能直接执行 .NET 组件。组件 2 则是 载荷的解密器和启动器,该文件没有使用混 淆,功能也比较简单,它会查找目录中扩展 名为 .stubbin 的文件,该文件是加密的勒索 软件,它会立即从文件中读取内容到内存并 自删除。该文件由 AES 加密,所以即使获取 该文件,分析人员也不能进行分析,除非能 获得攻击者独有的密码。组件 3 解密代码包 含在单独的 DLL 中,而在旧版本中,则在包 含在启动器中。组件 4 就是加密的恶意代码 载荷 *.stubbin。
安天 CERT 提醒广大网络使用者,要提 高网络安全意识,在日常工作中要及时进行 系统更新和漏洞修复,不要随意下载非正版 的应用软件、非官方游戏、注册机等。收发 邮件时要确认收发来源是否可靠,更加不要 随意点击或者复制邮件中的网址,不要轻易 下载来源不明的附件,发现网络异常要提高 警惕并及时采取应对措施,养成及时更新操 作系统和软件应用的好习惯。
目前,安天追影产品已经实现了对该 类恶意代码的检出。
