近日,天融信谛听实验室捕获到Conti勒索病毒。Conti是工业领域最活跃的勒索病毒之一,据统计Conti已成功攻击至少个组织并窃取其数据,包括大众汽车集团、工业物联网厂商Advantech、台达电子等机构,其中绝大部分的数据已不同程度被公开。近日,一位乌克兰研究人员在Twitter上披露Conti勒索软件源代码,Conti遭遇毁灭性打击。本文专门针对Conti技术细节利用进行分析,并提供防护建议。
目前,天融信谛听实验室已获取该勒索病毒密钥,可为感染该勒索病毒的客户提供解密工具。天融信EDR、自适应安全防御系统、过滤网关等产品均可精准检测并查杀该勒索病毒,天融信下一代防火墙可对该勒索病毒传播途径进行阻断,有效防止勒索事件发生。
病毒分析
Conti勒索病毒v3版本的参数调用如下:
程序使用扩展名.EXTEN,加密程度g_EncryptSize是指加密文件大小的百分比,默认为50%。
静态免杀
在32位系统中使用FS寄存器获取到PEB地址后,通过遍历内核结构体的链表并比较哈希值获取kernel32.dll的基地址。
遍历kernel32.dll等系统模块的导出表名字并计算MurmurHash2A哈希,通过查询嵌入在二进制PE中的MurmurHash2A哈希值寻找LoadLibraryA等必需的库函数地址。MurmurHash2A算法,这是一种众所周知的极快的非加密散列,适用于基于散列的查找,其项目开源地址为