GandCrab V5分析
字数 1744 2025-08-19 12:40:43

GandCrab V5勒索软件深度分析与防护指南

1. GandCrab V5概述

GandCrab是一种勒索软件即服务(RaaS),于2018年9月27日发布了V5版本。该勒索软件通过加密受害者文件并要求支付加密货币赎金来获利。

主要特征:

  • 采用多种感染机制
  • 使用漏洞提权技术
  • 文件加密后扩展名随机化
  • 会修改桌面墙纸
  • 提供勒索软件即服务模式

2. 感染向量分析

GandCrab V5通过多种方式传播:

  1. 远程桌面连接:利用弱安全配置的RDP服务
  2. 钓鱼邮件:包含恶意链接或附件的邮件
  3. 木马化合法程序:伪装成正常软件的恶意程序
  4. 利用套件:如RigEK、FalloutEK等漏洞利用工具包
  5. PowerShell攻击:通过PowerShell脚本或内存注入
  6. 僵尸网络传播:如Phorpiex僵尸网络

3. 版本演变与技术细节

V5.0版本

第一个发布版本

  • 仅能在Win7及更高版本运行(编译错误导致)
  • 使用两个漏洞进行权限提升
  • 检查操作系统版本和进程TokenIntegrityLevel
  • 使用正常函数调用导致XP/Vista不兼容
  • 加密后HTML文件存在缺陷(缺少必要信息)

第二个发布版本

  • 改用动态调用和字符串混淆
  • 涵盖CVE-2018-8440和CVE-2018-8120漏洞
  • 随机5字母文件扩展名(存储在注册表中)
  • 注册表位置:HKEY_LOCAL_MACHINE或HKEY_CURRENT_USER

V5.0.1版本

  • 修复内部bug
  • 无明显功能变化

V5.0.2版本(2018年10月4日)

  • 随机扩展名长度从5字符增至10字符
  • 修复更多内部bug
  • 文件加密漏洞仍未修复

4. 技术实现细节

漏洞利用技术

  1. 动态检测系统架构

    • 动态调用IsWoW64Process检测32/64位系统
    • 根据结果选择相应DLL

  2. DLL处理

    • 使用XOR 0x18简单加密嵌入的DLL
    • 修复DLL头部(前2字节最初为垃圾信息)

  3. 进程间通信

    • 创建mutex和命名管道
    • 使用dummy string作为DLL的mutex字符串

  4. 权限提升检查

    • 检查mutex状态决定是否运行漏洞利用
    • Vista及以上系统尝试获取TokenIntegrityLevel
    • XP系统直接继续正常流程

墙纸修改机制

  1. 墙纸创建

    • 运行时在%TEMP%创建pidor.bmp
    • 使用加密文件扩展名填充墙纸内容

  2. 用户检查

    • 用户为SYSTEM时显示USER
    • 检查系统语言并生成对应语言的勒索信

  3. 墙纸设置

    • 对所有用户应用新墙纸
    • 勒索信命名格式:<大写扩展名>_DECRYPT.<txt|html>

5. 防护与免疫措施

Valthek免疫工具

针对V4.x版本

  • 无法阻止影子卷删除
  • 但可以保护文件不被加密

针对V5.x版本

  • 可阻止文件加密
  • 无法阻止墙纸创建/修改
  • 可从%TEMP%移除墙纸

免疫工具类型

  1. 无驻留机制版:一次性防护
  2. 有驻留机制版
    • 创建随机文件名于特殊文件夹
    • 写入特殊随机注册表项
    • 提供持续保护

其他防护建议

  1. 系统加固

    • 加强RDP安全配置
    • 及时安装系统补丁(特别是CVE-2018-8440和CVE-2018-8120)

  2. 用户教育

    • 警惕可疑邮件和附件
    • 避免下载来源不明的软件

  3. 备份策略

    • 定期备份重要数据
    • 使用离线备份方式

  4. 安全监控

    • 监控可疑注册表修改
    • 关注%TEMP%目录异常文件

6. 参考资源

  1. 原始分析报告:https://securingtomorrow.mcafee.com/mcafee-labs/rapidly-evolving-ransomware-gandcrab-version-5-partners-with-crypter-service-for-obfuscation/
  2. 漏洞信息:
    • CVE-2018-8440
    • CVE-2018-8120
  3. 免疫工具:https://29wspy.ru/reversing.html
  4. 漏洞利用代码:
    • GitHub: https://github.com/SandboxEscaper/randomrepo
    • Twitter: https://twitter.com/sandboxescaper
GandCrab V5勒索软件深度分析与防护指南 1. GandCrab V5概述 GandCrab是一种勒索软件即服务(RaaS),于2018年9月27日发布了V5版本。该勒索软件通过加密受害者文件并要求支付加密货币赎金来获利。 主要特征: 采用多种感染机制 使用漏洞提权技术 文件加密后扩展名随机化 会修改桌面墙纸 提供勒索软件即服务模式 2. 感染向量分析 GandCrab V5通过多种方式传播: 远程桌面连接 :利用弱安全配置的RDP服务 钓鱼邮件 :包含恶意链接或附件的邮件 木马化合法程序 :伪装成正常软件的恶意程序 利用套件 :如RigEK、FalloutEK等漏洞利用工具包 PowerShell攻击 :通过PowerShell脚本或内存注入 僵尸网络传播 :如Phorpiex僵尸网络 3. 版本演变与技术细节 V5.0版本 第一个发布版本 : 仅能在Win7及更高版本运行(编译错误导致) 使用两个漏洞进行权限提升 检查操作系统版本和进程TokenIntegrityLevel 使用正常函数调用导致XP/Vista不兼容 加密后HTML文件存在缺陷(缺少必要信息) 第二个发布版本 : 改用动态调用和字符串混淆 涵盖CVE-2018-8440和CVE-2018-8120漏洞 随机5字母文件扩展名(存储在注册表中) 注册表位置:HKEY_ LOCAL_ MACHINE或HKEY_ CURRENT_ USER V5.0.1版本 修复内部bug 无明显功能变化 V5.0.2版本(2018年10月4日) 随机扩展名长度从5字符增至10字符 修复更多内部bug 文件加密漏洞仍未修复 4. 技术实现细节 漏洞利用技术 动态检测系统架构 : 动态调用IsWoW64Process检测32/64位系统 根据结果选择相应DLL DLL处理 : 使用XOR 0x18简单加密嵌入的DLL 修复DLL头部(前2字节最初为垃圾信息) 进程间通信 : 创建mutex和命名管道 使用dummy string作为DLL的mutex字符串 权限提升检查 : 检查mutex状态决定是否运行漏洞利用 Vista及以上系统尝试获取TokenIntegrityLevel XP系统直接继续正常流程 墙纸修改机制 墙纸创建 : 运行时在%TEMP%创建pidor.bmp 使用加密文件扩展名填充墙纸内容 用户检查 : 用户为SYSTEM时显示USER 检查系统语言并生成对应语言的勒索信 墙纸设置 : 对所有用户应用新墙纸 勒索信命名格式:<大写扩展名>_ DECRYPT. <txt|html> 5. 防护与免疫措施 Valthek免疫工具 针对V4.x版本 : 无法阻止影子卷删除 但可以保护文件不被加密 针对V5.x版本 : 可阻止文件加密 无法阻止墙纸创建/修改 可从%TEMP%移除墙纸 免疫工具类型 : 无驻留机制版 :一次性防护 有驻留机制版 : 创建随机文件名于特殊文件夹 写入特殊随机注册表项 提供持续保护 其他防护建议 系统加固 : 加强RDP安全配置 及时安装系统补丁(特别是CVE-2018-8440和CVE-2018-8120) 用户教育 : 警惕可疑邮件和附件 避免下载来源不明的软件 备份策略 : 定期备份重要数据 使用离线备份方式 安全监控 : 监控可疑注册表修改 关注%TEMP%目录异常文件 6. 参考资源 原始分析报告:https://securingtomorrow.mcafee.com/mcafee-labs/rapidly-evolving-ransomware-gandcrab-version-5-partners-with-crypter-service-for-obfuscation/ 漏洞信息: CVE-2018-8440 CVE-2018-8120 免疫工具:https://29wspy.ru/reversing.html 漏洞利用代码: GitHub: https://github.com/SandboxEscaper/randomrepo Twitter: https://twitter.com/sandboxescaper