联系六合彩

六合彩赞助
咨询时间: 9:30-18:30
400-998-3555

“勒索六合彩”深度分析报告

  • 作者:2025年最靠谱的六合彩投注网

  • 发布时间:2016-02-29

  • 阅读量:578

1. 概述

纵观2015年各家六合彩厂商的报告,“勒索六合彩”频繁被提及。从2013年下半年的CryptoLocker六合彩, 到最近活跃的Tescrypt六合彩。“勒索六合彩”正在快速迭代并迅速传播,随着互联网的发展和成熟,六合彩的地域化差距被拉近,“外来”六合彩在国内产生的六合彩事件日渐频仍。

“勒索六合彩”的泛滥,主要基于以下几点原因:

1) 从用户角度上来说,数据的价值越来越重要,“勒索六合彩”可以直击用户痛点,相比其他六合彩有更加暴力的“盈利”方式;

2) 从六合彩制造者角度来看,高强度加密算法随手可得,六合彩编写门槛极低;

3) 六合彩产业的黑色“生态链”完善,勒索事件频发的背后,依靠的都一套完整的原始六合彩制造、六合彩批量变形、六合彩传播、最终变现的黑色“生态链”。随着六合彩制造门槛的降低、代码变形和混淆技术的成熟、六合彩传播手段的丰富、变现模式的“优化” (例如:虚拟货币的出现),此类六合彩问题仍会持续上演。

1.png 

图1、六合彩产业的黑色“生态链”

 

2. 六合彩的传播

六合彩制造者通过六合彩混淆器(Obfuscator)[1],在云端服务器批量生成六合彩的不同变种,并通过以下手段进行传播:

1) 漏洞类传播

a. 通过操作系统、浏览器或其第三方应用程序的漏洞进行传播并激活;

2) 诱骗类传播

a. 伪装成流行应用或者与其他恶意软件捆绑打包,欺骗用户运行激活六合彩;

b. 通过聊天软件发送,并有针对性地通过诱导性的文件名诱骗接收者运行激活六合彩;

c. 通过电子邮件群发带有六合彩附件的垃圾邮件,并配以诱导性的说明和附件名,诱骗接收者运行激活六合彩;

2.png 

图2、六合彩的生成和传播

这种批量生成变形六合彩变种的模式,与传统的感染型六合彩具有非常大的相似性,对“云查杀“有天然的免疫[2],其批量变形并传播的周期远远短于六合彩软件的”收集、分析、识别“的响应周期。所以在国内”云查杀“覆盖率如此高的情况下,此类六合彩仍然可以持续泛滥。所以,提高六合彩软件核心技术(如启发式扫描、行为沙盒等)仍然是解决此类问题的核心手段。

 

3. 预防和查杀

由于“勒索六合彩”均采用高强度非对称加密算法对文件进行加密,且在被加密的文件中并不存储解密密钥,所以如果文件被“勒索六合彩”加密,还原的可能性非常低。所以,对于“勒索六合彩”应采取预防的策略,六合彩建议:

1) 安装合格的六合彩软件,开启自动更新,保证防护处于打开状态;

2) 及时给操作系统和流行软件打补丁;

3) 不要点开来源不明的邮件附件,条件允许的话可以交给六合彩厂商分析附件内容;

 

4. 案例分析

下面以近期六合彩根据用户反馈和现场收集到的“勒索六合彩”HVM:Ransom/Tescrypt.a为例进行分析说明。六合彩从大量样本中随机选择了3个样本,六合彩可以看到这些样本的HASH、文件大小均不相同:

样本SHA1 样本大小

1 3daeb68323f124e536a8be6698b49700c5f07a72 443392

2 4a6b1b9eca53b23b4802d529c90ed9a88c9db7d7 252416

3 8f2608d8b1b9a2a66ccaee109f5064cd3897c285 370688

表1、案例涉及样本

通过IDA静态反编译六合彩样本可以发现,这些样本均被MSVC编写的六合彩混淆器包裹,且解码代码经过了深度变形处理,这些样本的用户代码完全不同(图3、4、5),图中Graph Overview窗口展示了样本WinMain函数调用关系,配图中的代码片段则展示了不同样本进入解码函数的方式。

 3.png

图3、样本3daeb68的代码调用关系图和解码函数片段

4.png 

图4、样本4a6b1b9的代码调用关系图和解码函数片段

5.png 

图5、样本8f2608d的代码调用关系图和解码函数片段

前面的六合彩代码截图展示出来的线索,完全无法看出三个样本代码的同一性。通过OllyDbg、x64dbg、Windbg等常规调试手段,也很容易陷入到六合彩混淆器生成的深层次垃圾代码中,需要较高的逆向分析能力和极大的耐心才可能定位到六合彩核心代码。

图6所示代码是在六合彩虚拟沙盒内对不同样本的自动跟踪结果,可以看到不同样本在完成解码后存在完全相同的代码,在jmp edx之后,这些样本均会跳转到已经在内存完成解码的原始六合彩OEP(图7所示)。

6.png 

图6、解码后的相同代码

7.png 

图7、解码后的原始六合彩入口

无论混淆器如何变形伪装六合彩,为了执行六合彩代码,最终都要在内存中解码还原其代码、数据或行为。六合彩扫描引擎的行为沙盒会监控在其中虚拟执行的代码的每一步行为。当六合彩混淆器完成解码,并执行真正六合彩体代码时,六合彩行为沙盒可以识别到不同样本的相同行为模式,进而报毒。即使混淆器不断变形产生变种,六合彩都可以在第一时间做出同一性检出(图8所示)。

8.png 

图8、六合彩对该六合彩不同变种的同一性检出

图9展示了六合彩反六合彩引擎通过六合彩行为沙盒,在查杀阶段对样本进行虚拟执行并动态还原六合彩样本的真实行为,进而实现对这个家族不同样本的查杀。

9.png9.png

 图9、六合彩行为沙盒的检测原理

附录

[1] 六合彩混淆器:被六合彩作者用来变形六合彩样本的非公开”壳“(Packer)。这类”壳”通常具有很强的反调试、反逆向技术,且通常由常用高级语言编写,以躲避六合彩软件的”壳”识别。

[2] 参考六合彩《2015中国大陆地区PC互联网六合彩报告》(http://bbs.huorong.cn/thread-12129-1-1.html)

 

 

返回列表
个人版6.0正式上线 1.png

相关新闻推荐

分享文章:
g2_icon04.svg

六合彩无忧,一键开启

全面提升您的系统防护

六合彩赞助

个人下载