中心首页 » 安全公告 » 正文

Hive 勒索病毒最新变种来袭

发布时间:2022-07-28


恶意文件家族名称:Hive

威胁类型:勒索病毒

简单描述:Hive 勒索软件于 2021 6 月首次被发现,主要攻击医疗和 IT 行业,历经多次变种,最新变种进行了多项重大升级,其中最主要的改变为编程语言从 GoLang Rust 的转变及使用更复杂的加密方法。


一、恶意文件分析

恶意文件描述:

Hive 勒索病毒最新变种正在悄悄传播。该勒索病毒程序运行后,会加密受害主机上的重要文件,最后会释放勒索信,敲诈数字货币以谋取利益。

该样本的一个比较特殊的点为勒索软件即服务。勒索软件即服务是一个在线平台,任何人都可以通过发布勒索软件来开展自己的勒索业务,这种模式将黑客、分销商和客户整合到一个系统中。该服务的后端仅用于管理分支机构及其产品,由于每个分支机构都使用其唯一的比特币地址来购买勒索软件副本,因此执法人员无法将它们进行关联。

恶意文件分析:

该勒索病毒家族从首次发现至今,已经一年之余,但是目前全网关于该家族病毒的信息非常少。

1.查看文件基本信息

1)数字签名

该样本使用颁发给 “Casta, s.r.o” X.509 数字证书进行签名。

A0B0

2)命令行参数启动

在旧的版本中,用于访问 Hive 缴纳赎金支付网站的用户名和密码被嵌入在样本中,而在新的变种中,这些参数需要在命令行模式下以 “-u” 格式手动传入,因此分析人员无法从样本中提取这些凭据,如果不使用参数。程序将不会向下执行。


输入的凭据信息为访问 Hive 赎金支付网站的用户名和密码,输入任何一个<用户名>:<密码>,程序都能正常启动。方便换用户收钱,并随时更换钱包,如果直接写入在PE文件里面的话,增加被溯源的风险。

与大多数现代勒索软件一样,Hive 引入了命令行参数,允许程序通过使用参数灵活地运行有效负载。例如,攻击者可以根据需要选择被加密文件的种类、文件大小以及某一具体文件,表明开发人员根据具体的使用需求做了细致的模块化处理,可以看出该家族应该是精密的团队合作的产物。在新的 Hive 变体中,发现了以下参数:

53A5

2.隐藏技术

1)反沙箱技术

调用 Windows API Sleep 函数延迟程序的运行,从而检测程序是否运行在虚拟化环境。

84CB

2)反调试技术

TLS 回调

该程序使用了 TLS 回调,干扰调试器功能。

1063F

使用异常

通过异常处理函数 SetUnhandledExceptionFilter 判断程序是否处于调试器中,当程序处于调试器时,异常会交由调试器进行处理,而当程序处于非调试器中时,异常会交由程序本身进行处理。

CBB2

首先执行 RtlAddVectoredExceptionHandler 注册 VEH 异常,然后通过 SetThreadStackGuarantee 设置堆栈溢出异常期间可用的与调用线程关联的堆栈的最小字节数,其次通过 GetProcessHeap 获取默认堆句柄,再次通过RtlAllocateHeap 函数,从堆中分配一块内存,存储动态函数表。


3.感染迹象

获取当前系统以及样本运行时的一些基本信息。

5D2F

通过传入命令行参数启动程序。

7184

将动态函数表添加到动态函数表列表中,该程序不是通过直接调用 API 运行,而是将一些特殊敏感的 API 打包到函数列表中,通过调用函数表从而调用一些特殊的 API,从而避免基于 Windows API 的检测。

D248

程序写入以独占模式访问共享数据,其他读/写线程都会被堵塞,直至该线程释放了读写锁。便于该病毒顺利运行,防止其他进程堵塞该程序的执行。

A5C9

循环设置页可读可写权限,便于后续的加密行为。

8D84

查看所有环境变量的值。

8C30

查询计算机中所有环境变量的变量名如下:

3B2D

生成的勒索提示信息

1AEA5

Temp 临时文件夹下新建文件夹。

79C5

打开 Temp 目录发现新建的 mqghdpj 文件:

D5A7

获取当前进程,并打开与当前进程相关联的 Token

345B

提升权限,便于后续进行加密数据等操作。

8C11

Hive 不会从自己的进程内存空间中加密文件,而是注入到远程进程中。在注入远程进程之前,Hive 会尝试调整其令牌权限为 SeDebugPrivilege.  如果令牌权限调整失败,则不执行任何操作。

利用 CreateToolhelp32Snapshoprocess32FirsProcess32NextW 枚举出所有进程,终止了很多与安全防御相关工具的服务和进程,同时通过模拟trustedinstaller.exe winlogon.exe 进程 token,终止Windows 防火墙反病毒功能,从而降低主机防御能力。

终止以下服务:

2735

终止以下进程:

45FF

利用 wbadminwmicvssadmin 以及 bcdedit 命令删除系统备份和还原点,禁止开机修复,防止受害者借助备份恢复数据,该程序后续还会禁用安全产品、清除  Windows  事件日志以及关闭文件句柄,以确保加密过程的顺利进行。

5559

涉及的相关命令如下:

3C0B


根据之前创建的自定义散列的前六个字节生成 Base64 字符串。这个 Base64 字符串作为文件名,加密后文件的扩展名即为 “.key”

251C


二、解决方案

处置建议:

1.避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。

2.避免到信誉不明的网站下载应用程序。

3.避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。

4.定期使用杀毒软件进行全盘扫描,按时升级打补丁。

5.重要的数据最好双机备份或云备份。

6.如解密过程中,需要安装指定的第三方解密工具,注意安装的工具可能存在后门,以防二次感染。