针对俄罗斯社科院定向勒索软件分析教学文档

针对俄罗斯社科院定向勒索软件分析教学文档 一、事件概述 这是一起针对俄罗斯社科院的定向勒索攻击事件，攻击者通过精心设计的钓鱼邮件投递漏洞利用文档，最终释放勒索软件加密受害者文件。该事件展示了高级定向攻击的典型特征和技术手段。 二、攻击流程分析 1. 初始攻击向量：钓鱼邮件 邮件伪装 ：攻击者发送伪装成"修正法案"相关内容的邮件 社会工程学 ：利用与收件人工作相关的内容提高可信度 附件利用 ：邮件中包含恶意Word文档附件 2. 漏洞利用阶段(CVE-2015-1641) 漏洞类型 ：Office类型混淆漏洞 影响范围 ：影响当时微软支持的所有Office版本 漏洞原理 ： Office未对传入的customXML对象进行严格校验 当传入smartTag对象时仍使用customXML处理流程 导致任意内存读写漏洞 技术分析： 使用oletools提取嵌入的OLE对象(共4个) 解压后可在word\activeX\activeX52.bin中找到shellcode shellcode通过msvcr71.dll中的ret指令跳转到ROP链 3. 载荷释放与执行 诱饵文档 ：shellcode运行后会显示诱饵文档内容 恶意程序释放 ：在临时目录释放vmsk.exe并执行 使用文档图标伪装 伪造版本信息(公司、版权、产品版本等) 包含大量无用字符串和无效函数调用(反分析) 4. 多层解密机制 第一层解密 ： 从文件内部读取加密内容 使用0x33为密钥进行异或解密 解密算法：逐字节与临时变量temp异或，并更新temp 解密结果 ： 获得解密PE文件并内存加载执行的代码 创建线程执行解密出的PE入口点 主线程进入睡眠状态 5. 最终勒索软件分析 UPX加壳 ：解密出的PE文件使用UPX压缩 版本伪装 ：伪装成CSRSS.EXE(Client Server Runtime Process) 伪造Microsoft Corporation版权信息 版本号6.3.9600.16384 (winblue_ rtm.130821-1623) 三、勒索软件功能分析 1. 持久化机制 复制自身到%application data%\csrss.exe 添加启动项实现持久化 2. 加密密钥生成 使用时间、线程ID等信息生成随机种子 生成随机AES密钥用于文件内容和文件名加密 初始化AES256算法 3. 文件加密策略 文件筛选： 加密目标 ：特定扩展名文件 排除文件 ：系统关键文件(防止系统无法启动) 加密后文件名生成： 格式为三部分组合： AES256加密文件名后进行Base64编码 从配置文件中读取的字符串 固定后缀".better_ call_ saul" 示例： EAVncBsfZQ3MAGdWjbVe-R23ErWNDAn4Zodxpvwyd0o=.FAB037B7F0B595FFE1AF.better_call_saul 文件内容加密结构： 前0x180字节：RSA加密的AES密钥 中间部分：AES加密的文件内容 后部：原始文件前0x180字节内容 尾部：文件时间信息 4. 加密过程 使用RSA算法加密AES密钥，写入文件头部 将原始文件头部0x180字节拷贝到加密文件尾部 循环读取原始文件内容，加密后写回 重命名加密后的文件 四、反分析技术 多层混淆 ：多阶段解密加载 代码伪装 ：大量无用字符串和无效函数调用 版本伪造 ：伪造合法系统进程信息 威胁分析人员 ：样本中包含针对卡巴斯基分析人员的恐吓内容 五、防御建议 安全意识培训 ： 警惕不明来源邮件，特别是包含附件的邮件 验证邮件发送者身份和内容真实性 技术防护 ： 及时安装Office安全补丁(特别是CVE-2015-1641) 启用高级威胁防护解决方案 禁用Office宏和ActiveX控件 数据保护 ： 实施定期数据备份策略 使用版本控制系统保护重要文件 考虑使用云存储服务保留文件历史版本 应急响应 ： 隔离受感染系统 保留样本供分析使用 不轻易支付赎金(无法保证文件恢复) 六、总结 该定向勒索攻击展示了高级攻击者的典型手法： 精心设计的钓鱼邮件作为初始入口 利用已知但未修补的Office漏洞 多层加密和混淆技术绕过检测 针对特定目标的定制化攻击 防御此类攻击需要结合技术防护和人员安全意识提升，建立多层次的安全防护体系。