近日，天融信諦聽(tīng)實(shí)驗(yàn)室捕獲到Conti勒索病毒。Conti是工業(yè)領(lǐng)域最活躍的勒索病毒之一，據(jù)統(tǒng)計(jì)Conti已成功攻擊至少475個(gè)組織并竊取其數(shù)據(jù)，包括大眾汽車集團(tuán)、工業(yè)物聯(lián)網(wǎng)廠商Advantech、臺(tái)達(dá)電子等機(jī)構(gòu)，其中絕大部分的數(shù)據(jù)已不同程度被公開(kāi)。近日，一位烏克蘭研究人員在Twitter上披露Conti勒索軟件源代碼， Conti遭遇毀滅性打擊。本文專門針對(duì)Conti技術(shù)細(xì)節(jié)利用進(jìn)行分析，并提供防護(hù)建議。

目前，天融信諦聽(tīng)實(shí)驗(yàn)室已獲取該勒索病毒密鑰，可為感染該勒索病毒的客戶提供解密工具。天融信EDR、自適應(yīng)安全防御系統(tǒng)、過(guò)濾網(wǎng)關(guān)等產(chǎn)品均可精準(zhǔn)檢測(cè)并查殺該勒索病毒，天融信下一代防火墻可對(duì)該勒索病毒傳播途徑進(jìn)行阻斷，有效防止勒索事件發(fā)生。

病毒分析

Conti勒索病毒v3版本的參數(shù)調(diào)用如下：

程序使用擴(kuò)展名.EXTEN，加密程度g_EncryptSize是指加密文件大小的百分比，默認(rèn)為50%。

靜態(tài)免殺

在32位系統(tǒng)中使用FS寄存器獲取到PEB地址后，通過(guò)遍歷內(nèi)核結(jié)構(gòu)體的鏈表并比較哈希值獲取kernel32.dll的基地址。

遍歷kernel32.dll等系統(tǒng)模塊的導(dǎo)出表名字并計(jì)算MurmurHash2A 哈希，通過(guò)查詢嵌入在二進(jìn)制PE中的MurmurHash2A哈希值尋找LoadLibraryA等必需的庫(kù)函數(shù)地址。MurmurHash2A算法，這是一種眾所周知的極快的非加密散列，適用于基于散列的查找，其項(xiàng)目開(kāi)源地址為

https://github.com/abrandoned/murmur2/blob/master/MurmurHash2.c

通過(guò)__forceinline內(nèi)聯(lián)函數(shù)GetProcAddressEx2動(dòng)態(tài)獲取所需要的API函數(shù)地址，主要作用是在導(dǎo)入表中隱藏所需要的API函數(shù)，防止被yara等規(guī)則靜態(tài)匹配分析。C++中inline和__inline通知編譯器將該函數(shù)的內(nèi)容拷貝一份放在調(diào)用函數(shù)的地方，這稱之為內(nèi)聯(lián)。內(nèi)聯(lián)減少了函數(shù)調(diào)用的開(kāi)銷，但卻增加了代碼量。__forceinline關(guān)鍵字不基于編譯器的性能和優(yōu)化分析而依賴于程序員的判斷進(jìn)行內(nèi)聯(lián)。

反調(diào)試反HOOK

反HOOK的函數(shù)工作原理：通過(guò)GetModuleFileNameW 函數(shù)獲取模塊的路徑，該路徑將用于CreateFile函數(shù)創(chuàng)建句柄，然后使用CreateFileMapping和MapViewOfFile函數(shù)將系統(tǒng)庫(kù)再次映射到另一個(gè)內(nèi)存部分，這樣斷點(diǎn)就不會(huì)起作用。

通過(guò)遍歷導(dǎo)出表來(lái)獲取函數(shù)的地址，判斷獲取到的地址的OPCODE反匯編是否為jmp匯編指令，如果被HOOK最終通過(guò)CopyMemory函數(shù)修復(fù)被HOOK的函數(shù)地址。

混淆

字符串混淆

使用OBFA()和OBFW()函數(shù)進(jìn)行宏替換字符串混淆。“OBFA”用于 ASCII 字符串，“OBFW”用于 UNICODE 字符串。函數(shù)中使用擴(kuò)展歐幾里得算法Extended Euclidean，每次都使用變化的數(shù)值生成混淆后的字符串。

算法中A、B是兩個(gè)會(huì)隨機(jī)變化的數(shù)字。(A*要加密字符byte+B)%127就是加密后的字符。

解密腳本鏈接：

https://github.com/Finch4/Malware-Analysis-

Reports/blob/master/conti_string_decrypt.py

指令混淆

Morphcode是宏替換混淆指令函數(shù)，混淆原理是使用MetaRandom2<0,0x7FFFFF - 1>::value隨機(jī)出一個(gè)數(shù)值，然后添加分別判斷它能否被2、3、4、5模整除的運(yùn)算，依此添加大量無(wú)用匯編指令。

功能函數(shù)

TAILQ隊(duì)列處理

TAILQ隊(duì)列是FreeBSD內(nèi)核中的一種隊(duì)列數(shù)據(jù)結(jié)構(gòu)，主要用于處理隊(duì)列，在一些著名的開(kāi)源庫(kù)中(如DPDK,libevent)有廣泛的應(yīng)用。

線程池

在threadpool命名空間中定義了Cteate、Start、PutTask、PutFinalTask、IsActive線程操作函數(shù)。在線程池的Start函數(shù)中創(chuàng)建名為ThreadPoolHandler的線程函數(shù)，ThreadPoolHandler線程函數(shù)主要進(jìn)行網(wǎng)絡(luò)和文件的加密。線程數(shù)量在完全加密模式下和處理器數(shù)量相同，其他模式下是處理器數(shù)量的兩倍。

主要功能函數(shù)列表：

刪除卷影副本

DeleteShadowCopies函數(shù)調(diào)用wbem的流程：

一、初始化COM

二、設(shè)置一般的COM安全等級(jí)

三、獲取最初的WMI的locator

四、通過(guò)IWbemLocator::ConnectServer方法連接WMI

五、設(shè)置代理上的安全等級(jí)

六、利用IWbemServices指針發(fā)出WMI請(qǐng)求

七、獲取請(qǐng)求的返回?cái)?shù)據(jù)

核心加密算法

在遍歷文件的函數(shù)中使用核心加密函數(shù)cryptor::Encrypt函數(shù)開(kāi)始加密文件。

在locker::GenKey方法中使用RSA公鑰加密隨機(jī)產(chǎn)生的ChaCha20算法（Salsa20加密算法的一種變體）的32字節(jié)key和8字節(jié)iv。

文件分類加密，具體針對(duì)不同的文件加密方法如下表。其中1M=1048576字節(jié)。

加密性能

在測(cè)試系統(tǒng)中，程序運(yùn)行3分鐘完成全盤加密。加密過(guò)程中有約5萬(wàn)個(gè)文件因?yàn)闄?quán)限問(wèn)題無(wú)法打開(kāi)。

網(wǎng)絡(luò)共享文件加密

如果運(yùn)行模式為-net或-all都會(huì)進(jìn)行網(wǎng)絡(luò)共享文件加密。在線程函數(shù)中會(huì)調(diào)用HostHandler函數(shù)來(lái)獲取網(wǎng)絡(luò)共享下其他主機(jī)的信息，如下為通過(guò)NetShareEnum函數(shù)枚舉到網(wǎng)絡(luò)共享文件夾后進(jìn)行處理加密路徑的代碼。

加密共享文件目錄下的多數(shù)文件時(shí)同樣會(huì)因權(quán)限問(wèn)題不能進(jìn)行加密，但是/User/Public/目錄下的公共音視頻文件基本都可以被加密。

重啟系統(tǒng)安全模式加密

在zscaler公司的報(bào)告披露中，Conti還會(huì)以安全模式重啟系統(tǒng)并加密文件，其基本步驟如下：

一、執(zhí)行命令cmd.exe /c net user <admin> /active:yes以確保該帳戶已啟用。然后，Conti 將嘗試通過(guò)執(zhí)行命令cmd.exe /c net user<admin> “”將此帳戶的密碼更改為空字符串。將相應(yīng)的注冊(cè)表值設(shè)置為在系統(tǒng)重新啟動(dòng)時(shí)以安全模式自動(dòng)以管理員身份登錄：

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon下的注冊(cè)表值設(shè)置為以下值：

AutoAdminLogon= 1

DefaultUserName= <username>

DefaultDomainName= <computer_name or domain_name>

DefaultPassword= <password>

二、Conti然后執(zhí)行命令 bcedit.exe /set {current}safeboot network并通過(guò)調(diào)用 Windows API 函數(shù)ExitWindowsEx()強(qiáng)制系統(tǒng)重新啟動(dòng)。這將在啟用網(wǎng)絡(luò)的安全模式下啟動(dòng)Windows，因此Conti仍可加密網(wǎng)絡(luò)共享上的文件。

三、Conti 在安全模式下完成文件加密后，執(zhí)行命令bcedit.exe/deletevalue {current} safeboot并重新啟動(dòng)系統(tǒng)。

天融信解密工具

已感染客戶可在天融信官網(wǎng)獲取解密工具，還原被加密的文件，無(wú)需安裝，綠色運(yùn)行！

下載地址：

http://edr.topsec.com.cn/antiConti.exe

使用方法：選擇需要掃描的文件夾，點(diǎn)擊“掃描”即可對(duì)該文件夾下所有被Conti勒索病毒加密的文件進(jìn)行解密，也可將被加密文件直接拖入工具框進(jìn)行解密。

防護(hù)建議：

1、及時(shí)修復(fù)系統(tǒng)及應(yīng)用漏洞，降低被Conti勒索病毒通過(guò)漏洞入侵的風(fēng)險(xiǎn)。

2、加強(qiáng)訪問(wèn)控制，關(guān)閉不必要的端口，禁用不必要的連接，降低資產(chǎn)風(fēng)險(xiǎn)暴露面。

3、更改系統(tǒng)及應(yīng)用使用的默認(rèn)密碼，配置高強(qiáng)度密碼認(rèn)證，并定期更新密碼，防止弱口令攻擊。

4、可安裝天融信安全產(chǎn)品加強(qiáng)防護(hù)，天融信EDR、自適應(yīng)、過(guò)濾網(wǎng)關(guān)產(chǎn)品可有效防御該勒索病毒。

天融信產(chǎn)品防御配置

天融信EDR系統(tǒng)

1、通過(guò)微隔離策略加強(qiáng)訪問(wèn)控制，降低橫向感染風(fēng)險(xiǎn)；

2、創(chuàng)建周期掃描任務(wù)，定時(shí)對(duì)主機(jī)進(jìn)行全面清理，消除安全隱患；

3、開(kāi)啟病毒實(shí)時(shí)監(jiān)測(cè)功能，可有效預(yù)防和查殺該勒索病毒;

4、開(kāi)啟系統(tǒng)加固功能，可有效攔截該勒索病毒對(duì)系統(tǒng)進(jìn)行破壞和篡改。

天融信自適應(yīng)安全防御系統(tǒng)

1、通過(guò)微隔離策略加強(qiáng)訪問(wèn)控制，降低橫向感染風(fēng)險(xiǎn)；

2、通過(guò)風(fēng)險(xiǎn)發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令，降低風(fēng)險(xiǎn)、減少資產(chǎn)暴露；

3、開(kāi)啟病毒實(shí)時(shí)監(jiān)測(cè)功能，可有效預(yù)防和查殺該勒索病毒。

天融信下一代防火墻系統(tǒng)

1、通過(guò)訪問(wèn)控制策略關(guān)閉不必要的端口和服務(wù)，降低內(nèi)網(wǎng)資產(chǎn)暴露風(fēng)險(xiǎn)；

2、開(kāi)啟入侵檢測(cè)防御功能，防御口令類攻擊手段，降低被入侵風(fēng)險(xiǎn)；

3、通過(guò)訪問(wèn)控制策略限制內(nèi)網(wǎng)中探測(cè)類數(shù)據(jù)包，降低內(nèi)網(wǎng)資產(chǎn)暴露和橫向感染風(fēng)險(xiǎn)。

天融信過(guò)濾網(wǎng)關(guān)

1、升級(jí)到最新病毒特征庫(kù)；

2、開(kāi)啟HTTP、POP3、SMTP、FTP、IMAP等協(xié)議的病毒掃描檢測(cè)；

3、配置病毒檢測(cè)處置策略;

4、開(kāi)啟日志記錄和報(bào)警功能。

產(chǎn)品獲取方式：

1、天融信下一代防火墻、自適應(yīng)安全防御系統(tǒng)、EDR企業(yè)版：可通過(guò)天融信各地分公司獲取（查詢網(wǎng)址：

http://www.pandorauk.cn/contact/）

2、天融信EDR單機(jī)版下載地址：

http://edr.topsec.com.cn

3、天融信過(guò)濾網(wǎng)關(guān)系統(tǒng)病毒庫(kù)下載地址：

ftp://ftp.topsec.com.cn/防病毒網(wǎng)關(guān)(Top-Filter)/病毒庫(kù)脫機(jī)升級(jí)包/。