Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17788 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
天融信关于Incaseformat 蠕虫技术分析报告及防御方案
本文来自公众号:天融信阿尔法实验室   2021.01.14 16:21:49


0x00背景介绍



1月13日,天融信阿尔法实验室及威胁情报运营中心监测到: 国内众多Windows系统用户遭遇文件被病毒删除现象,通过天融信威胁情报平台综合分析后,鉴定该事件为感染蠕虫病毒Incaseformat所致,该蠕虫病毒在感染主机后会删除所有非系统分区文件,危害性极大。

Incaseformat 蠕虫病毒由于配置错误导致爆发的时间为“2021年01月13日”,该蠕虫病毒主要通过U盘感染传播,一旦执行会对系统磁盘外的其他磁盘数据文件进行删除,且预计后续会多次爆发,建议用户提前防御,避免数据丢失。


0x01样本分析



1.样本说明

2.技术分析

1)该病毒为delphi的窗口程序,并在窗口回调中有几个Timer回调函数来执行程序的主逻辑,以下为4个定时器:

2)主窗口回调中,首先将自身拷贝为C:\windows\tsay.exe,并设置注册表自启动,然后将自身拷贝为C:\windows\ttry.exe并直接启动:

3)Timer1定时器回调函数,判断当前磁盘类型并遍历文件

4)Timer2定时器回调函数,主要功能为解码当前时间,与代码中配置的时间进行对比,如果条件符合,则执行文件删除操作:

因为代码配置错误,导致“2021年01月13日”被解码为 “2010年4月1日”,符合配置的首次爆发时间,因此导致蠕虫爆发,才有了所谓的“潜伏10年”。以下为解码时间中的配置错误:

需要注意的是,蠕虫后续的爆发时间,因为时间解码配置错误的原因,并不遵从“4月份及以后且每月1/10/21/29日”的规律。

以下为遍历文件、目录并删除的代码:

5)Timer3定时器回调函数,主要功能为注册表操作,设置文件隐藏属性:

6)Timer4定时器回调函数,主要功能为创建incaseformat.log文件

3.爆发日期计算方法

以上函数中:a2为从1900年1月1日到当前日期的天数,如果0x450180位置的全局变量配置正确,以上红框部分执行结束后,变量date与a2理应相同。红框之后,a2+693594即为当前日期。

0x450180位置变量的正确值为0x5265C00,实际值为0x5A75CC4,偏差系数为:0x5A75CC4/0x5265C00=1.0978511574074075。

因此,已知配置的首次爆发时间为2010年4月1日,则实际的爆发日期计算过程如下:

1.2010年4月1日距离1900年1月1日的总天数为:40267天

2.40267天* 系数1.0978511574074075 = 44207天

3.1900年1月1日 + 44207天 = 2021年1月13日

同理可计算后续爆发日期:


0x02安全排查办法



天融信阿尔法实验室和威胁情报运营中心建议相关用户提高警惕,及时进行安全排查,手工排查和数据恢复方法如下:

1、手动排查方法

排查主机Windows目录下是否含tsay.exe,若存在删除该文件;排查注册表是否存在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa,键值为C:\windows\tsay.exe,若存在删除msfsa注册表项。且在删除该文件和注册表项前切勿重启计算机。

2、数据恢复方法

勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius等)即可恢复被删除数据。


0x03天融信解决方案



1、天融信威胁情报平台检测方案

前,天融信威胁情报平台中沙箱已支持自动识别和鉴定该样本。 天融信威胁情报平台结合多年漏洞挖掘和威胁情报数据的采集、处理、分析等经验,以分析报告及情报知识的方式向客户提供威胁预警和威胁分析报告。 天融信威胁情报运营中心将7×24小时为相关客户提供病毒预警和修复建议服务。


2、天融信EDR防护方案

天融信EDR无需病毒库升级即可对该蠕虫病毒进行全面查杀和防御。

1)已安装天融信EDR的用户可对该蠕虫病毒精准查杀和全面防御。

2)未安装天融信EDR的用户,可试用企业版或下载单机版对该蠕虫病毒进行检测与查杀。


0x04支持热线



天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。


0x05声明



天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。

天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。

天融信

阿尔法实验室

长按二维码关注我们