不穿内衣的美女视频,能看美女视频,美女视频vip内部1101

RobbinHood勒索軟件另辟渠道，通過(guò)驅(qū)動(dòng)漏洞干翻殺毒軟件奇安信威脅情報(bào)中心

2020.09.17

概述

2月初，奇安信病毒響應(yīng)中心在日常樣本監(jiān)控過(guò)程中發(fā)現(xiàn)了一款名為“RobbinHood”的勒索軟件通過(guò)使用“另類”的方式關(guān)閉并刪除殺軟，經(jīng)分析，在執(zhí)行過(guò)程中會(huì)釋放并加載帶有漏洞的技嘉驅(qū)動(dòng)程序，之后會(huì)對(duì)該驅(qū)動(dòng)程序進(jìn)行漏洞利用，關(guān)閉Windows DSE機(jī)制，一旦利用成功便會(huì)迅速加載沒(méi)有簽名的Rootkit，Rootkit主要功能為結(jié)束并刪除指定的進(jìn)程和殺軟，上述操作完成后開(kāi)始加密。

威脅細(xì)節(jié)

在以往的勒索軟件中，Nemty勒索使用Taskkill來(lái)結(jié)束指定的進(jìn)程和服務(wù)，Snatch勒索會(huì)進(jìn)入安全模式來(lái)加密文件，Sodinokibi勒索會(huì)使用CVE-2018-8453內(nèi)核提權(quán)漏洞來(lái)提升自己的權(quán)限結(jié)束相關(guān)進(jìn)程和服務(wù)。而本文的主角“RobbinHood”結(jié)束進(jìn)程和服務(wù)的方式要比上述“殘暴”不少。

RobbinHood勒索執(zhí)行流程如下：

CVE-2018-19320分析

漏洞出現(xiàn)在GIGABYTE（技嘉）主板相關(guān)驅(qū)動(dòng)程序程序中，在處理特定的IOCTL時(shí)，由于沒(méi)有對(duì)輸入的參數(shù)進(jìn)行相關(guān)的校驗(yàn)，導(dǎo)致驅(qū)動(dòng)程序在內(nèi)核中執(zhí)行memcpy的操作，從而實(shí)現(xiàn)內(nèi)核任意地址讀寫。驅(qū)動(dòng)的數(shù)字簽名如下:

驅(qū)動(dòng)功能較為簡(jiǎn)單，問(wèn)題出在IRP派遣函數(shù)中，首先會(huì)獲取從用戶層傳來(lái)的IOCTL，并與固定值進(jìn)行比較:

通過(guò)調(diào)試POC發(fā)現(xiàn)當(dāng)IOCTL等于0xC3502808時(shí)會(huì)進(jìn)入問(wèn)題函數(shù)：

在問(wèn)題函數(shù)中不做任何校驗(yàn)直接對(duì)從用戶層傳來(lái)的數(shù)據(jù)進(jìn)行操作：

且Dest、Src、Size三個(gè)內(nèi)核memcpy的參數(shù)在用戶層均可控：

從而實(shí)現(xiàn)任意地址讀寫的功能：

DSE ByPass

樣本在執(zhí)行過(guò)程中會(huì)釋放名為ROBNR.EXE的可執(zhí)行程序，該程序的主要功能是釋放并加載帶有漏洞的技嘉驅(qū)動(dòng)，通過(guò)利用CVE-2018-19320禁用DSE簽名機(jī)制，并迅速加載沒(méi)有簽名的惡意驅(qū)動(dòng)。

以win7 x64為例，Code Integrity初始化簡(jiǎn)要過(guò)程如下，在系統(tǒng)初始化過(guò)程中會(huì)調(diào)用SepInitializeCodeIntegrity：

通過(guò)系統(tǒng)是否進(jìn)入安全模式來(lái)給g_CiEnabled賦值，g_CiOptions代表簽名策略狀態(tài)的標(biāo)志默認(rèn)開(kāi)啟完成性檢查值為6，禁用完整性檢查時(shí)CiOptions等于0，處于測(cè)試模式時(shí)值為8，最后會(huì)調(diào)用ci.dll的導(dǎo)出函數(shù)CiInitialize給g_CiCallbacks函數(shù)數(shù)組進(jìn)行初始化，至此初始化結(jié)束。

當(dāng)有驅(qū)動(dòng)加載入內(nèi)核時(shí)會(huì)調(diào)用g_CiCallbacks數(shù)組中的函數(shù)進(jìn)行校驗(yàn)，最終會(huì)調(diào)用SeValidateImageHeader：

如果g_CiEnabled等于0時(shí)則直接返回STATUS_SUCCESS，所以可以通過(guò)CVE-2018-19320將g_CiEnabled的值置位0從而繞過(guò)代碼完成性檢驗(yàn)。

在Win7以上版本時(shí)，修復(fù)了SeValidateImageHeader邏輯問(wèn)題。

在win7以上的版本時(shí)需要對(duì)g_CiOptions置0，表示“DISABLE_INTEGRITY_CHECKS”，所以如果想要Bypass DSE需要對(duì)操作系統(tǒng)版本進(jìn)行判斷，體現(xiàn)在樣本中的代碼如下：

在Find_g_CiEnabled_Or_g_CiOptions_Address函數(shù)中會(huì)跟據(jù)不同版本的操作系統(tǒng)取相關(guān)地址。

當(dāng)系統(tǒng)為win7或win7以下時(shí)，通過(guò)獲取ntoskrnl.exe的基址，在內(nèi)核中遍歷尋找立即數(shù)，最終獲取g_CiEnabled的地址。獲取內(nèi)核地址代碼如下：

當(dāng)系統(tǒng)為win8或win8以上時(shí)，獲取CI.DLL的基址，通過(guò)對(duì)導(dǎo)出表進(jìn)行解析獲取CiInitialize函數(shù)地址，再對(duì)該函數(shù)進(jìn)行反匯編以此尋找jmp CipInitialize和mov cs:g_CiOptions, ecx指令。

之所以要這么找這是因?yàn)間_CiOptions地址在CipInitialize中，而CipInitialize會(huì)在CiInitialize中被調(diào)用：

找到相關(guān)地址后，加載帶有漏洞的技嘉驅(qū)動(dòng)，開(kāi)始漏洞利用：

利用成功后加載未簽名的驅(qū)動(dòng)rbnl.sys：

由于內(nèi)核中的PatchGuard機(jī)制觸發(fā)時(shí)間不缺定，所以加載完Rootkit之后再次進(jìn)行漏洞利用恢復(fù)被修改的內(nèi)核全局變量的值以防止PatchGuard導(dǎo)致系統(tǒng)BSOD。

Rootkit分析

PDB：C:\Users\Mikhail\Desktop\Robnhold\x64\Win7Release\Robbnhold.pdb

通過(guò)PDB可以看出Rookit并非出自第三方分發(fā)商，而是黑客自己編寫，主要功能為結(jié)束殺軟進(jìn)程，刪除相關(guān)文件。

核心邏輯在IRP派遣函數(shù)中:

調(diào)用ZwTerminateProcess結(jié)束進(jìn)程，由于有些系統(tǒng)級(jí)別的軟件不會(huì)被輕易的結(jié)束，所以該驅(qū)動(dòng)提供了至少四種強(qiáng)制刪除相關(guān)文件的方法。在執(zhí)行過(guò)程中會(huì)順序運(yùn)行。

第一種，直接調(diào)用ZwDeleteFile.

第二種，向Ntfs.sys發(fā)送IRP，首先設(shè)置文件屬性，去掉只讀屬性，之后刪除文件，在刪除文件時(shí)獲取Ntfs.sys派發(fā)例程，將SECTION_OBJECT_POINTER結(jié)構(gòu)置零，由于在Ntfs的NtfsFsdSetInformation例程中會(huì)調(diào)用MmFlushImageSection函數(shù)對(duì)SECTION_OBJECT_POINTER進(jìn)行判斷，如果為零，說(shuō)明該文件在內(nèi)存中沒(méi)有被映射，可以被刪除。故通過(guò)欺騙文件系統(tǒng)的方式達(dá)到強(qiáng)制刪除正在運(yùn)行程序文件的效果。

第三種，與2019年Banload銀行木馬刪除AV的手法一致。

第四種，通過(guò)IoCreateFileSpecifyDeviceObjectHint添加文件對(duì)象刪除的訪問(wèn)權(quán)限，之后調(diào)用ZwDeleteFile刪除文件。

當(dāng)Rootkit刪除指定的文件后，加密程序開(kāi)始刪除卷影，清除日志，禁用windows自動(dòng)修復(fù)，在加密過(guò)程中，使用RSA和AES來(lái)加密文件，以下格式作為加密后的文件后綴：Encrypted_ [randomstring] .enc_robbinhood，排除如下目錄。

加密完成后彈出勒索信：

在勒索信中該團(tuán)伙炫耀起了自己的“戰(zhàn)績(jī)”：

總結(jié)

RobbinHood勒索軟件利用了第三驅(qū)動(dòng)的漏洞繞過(guò)Windows的安全機(jī)制，技術(shù)上算比較有特色。相比于使用系統(tǒng)內(nèi)核漏洞，第三方驅(qū)動(dòng)漏洞更加穩(wěn)定和方便，除了本文分析的CVE-2018-19320漏洞之外。技嘉驅(qū)動(dòng)還有另外三個(gè)漏洞可以利用，嚴(yán)重的能夠在內(nèi)核執(zhí)行任意代碼，危害較大。

該家族主要通過(guò)RDP爆破登錄獲取控制，目前對(duì)國(guó)內(nèi)用戶影響不大，但不排除進(jìn)一步擴(kuò)散的可能。因此，奇安信病毒響應(yīng)中心提醒用戶，疫情在家遠(yuǎn)程辦公，不要點(diǎn)擊來(lái)源不明的郵件和可執(zhí)行文件，同時(shí)提高個(gè)人的安全意識(shí)，從而可以防止用戶隱私信息被盜取的風(fēng)險(xiǎn)，奇安信病毒響應(yīng)中心會(huì)持續(xù)對(duì)上述家族進(jìn)行持續(xù)跟蹤，目前奇安信勒索病毒搜索引擎（lesuobingdu.qianxin.com）已支持上述勒索樣本查詢。

同時(shí)基于奇安信威脅情報(bào)中心的威脅情報(bào)數(shù)據(jù)的全線產(chǎn)品，包括奇安信威脅情報(bào)平臺(tái)（TIP）、天擎、天眼高級(jí)威脅檢測(cè)系統(tǒng)、奇安信NGSOC等，都已經(jīng)支持對(duì)該家族的精確檢測(cè)。