REvil - 勒索病毒应急响应

加载名为 AnalysisSession1 的 Mandiant 分析文件后,我导航到“分析数据>用户”以识别受感染主机上存在的不同用户。在这里我可以看到员工全名:

2. 受感染主机的操作系统是什么?

要找到受感染主机的操作系统,我们可以导航到“分析数据 > 系统信息”并查看操作系统信息:

3. 用户打开的恶意可执行文件的名称是什么?

根据房间的标题和挑战描述,受感染的主机似乎已被 REvil Ransomware 感染。在网上做了一些研究,我发现了 Secureworks 的这篇文章:

REvil/Sodinokibi 勒索软件

作者:反威胁单位研究小组 REvil(也称为 Sodinokibi)勒索软件于 4 月 17 日首次被发现......

www.secureworks.com

通读这篇文章,我了解到,作为勒索软件交付的一部分,威胁行为者利用战略网络入侵 (SWC) 通过破坏意大利WinRAR网站并用恶意软件实例替换 WinRAR 安装可执行文件来交付 REvil 。SWC 导致了毫无戒心的 WinRAR 客户系统的感染。

在 Redline 中,我导航到“分析数据>文件系统”,找到了用户打开的WinRAR恶意可执行文件:

4. 用户下载恶意二进制文件时访问的完整 URL 是什么?(也包括二进制文件)

在 Redline 中,我导航到“分析数据>文件下载历史记录”并找到用于下载恶意二进制文件的源 URL:

5. 二进制的 MD5 哈希值是多少?

要找到恶意 WinRAR 二进制文件的 MD5 哈希,我们可以导航到Redline 中的“分析数据>文件系统”,然后双击 WinRAR 条目以获取更多详细信息,例如它的文件哈希:

6. 二进制文件的大小是多少千字节?

要找到恶意 WinRAR 二进制文件的文件大小,我们可以导航到Redline 中的“分析数据>文件系统”,然后双击 WinRAR 条目以获取更多详细信息,例如文件大小:

7. 用户文件重命名的扩展名是什么?

根据上面的 SecureWorks 文章,REvil 检查 Software\recfg 注册表项中是否存在 rnd_ext 值。此值包含在运行时生成的附加到加密文件随机扩展名。如果此注册表值不存在,恶意软件会生成一个由小写字母 (az) 和数字 (0–9) 组成的随机字符串,长度范围为 5 到 10 个字符(含),并以句点开头(例如,.9781xsd4)。

在 Redline 中,我导航到“分析数据>文件系统”并看到一个随机的文件扩展名,类似于上面的描述和示例:

8. 重命名并更改为该扩展名的文件数量是多少?

为了确定重命名并更改为问题 7 中确定的扩展名的文件数量,我导航到“分析数据>时间线”并在摘要列中过滤扩展名:

9. 被攻击者更改的壁纸的完整路径是什么,包括图像名称?

参考 SecureWorks,如果加密过程成功,REvil 会更改桌面背景,让受害者意识到受到威胁。REvil 使用随机文件名将图像保存到主机的 %Temp% 目录中,该文件名由长度为 3 到 13 个字符的小写字母和数字组成,并附加“ .bmp ”扩展名(例如,C:\Users\ <user> \AppData\本地\Temp\cd2sxy.bmp)。

在 Redline 中,我导航到“分析数据>时间线”,然后过滤任何带有 .bmp 扩展名的文件。我找到了一个与 SecureWorks 提供的描述相匹配的文件:

10. 攻击者在桌面上为用户留下了便条;提供带有扩展名的注释名称。

在 Redline 中,我导航到“分析数据>文件系统”,发现攻击者在用户桌面上留下的注释:

11. 攻击者在 C:\Users\John Coleman\Favorites\ 下创建了一个“Links for United States”文件夹,并在那里留下了一个文件。提供文件名。

在 Redline 中,我导航到“分析数据>文件系统”,在“ C:\Users\John Coleman\Favorites\ ”下找到了攻击者留下的文件:

12. 在用户的桌面上创建了一个 0 字节的隐藏文件。提供隐藏文件的名称。

在 Redline 中,我导航到“分析数据>文件系统”并搜索一个 0 字节的文件:

13. 用户下载了一个解密器,希望能解密所有文件,但失败了。提供解密文件的 MD5 哈希值。

在 Redline 中,我导航到“分析数据>文件系统”并看到一个名为“decryp.tor.exe”的文件。我双击这个条目并看到了 MD5 哈希:

14. 在勒索软件说明中,攻击者提供了一个可通过普通浏览器访问的 URL,以便免费解密其中一个加密文件。用户试图访问它。提供完整的 URL 路径。

通读 SecureWorks 文章,赎金票据指示受害者使用唯一的 URL来解密他们的文件。该网站提供试用解密以证明受害者可以解密文件,如下图所示:

查看图像,我可以看到“ Decryptor ”一词用作唯一 URL 的一部分。在 Redline 中,我导航到“分析数据>浏览 URL 历史记录”并过滤关键字“解密器”:

15. 与感染该主机的恶意软件相关的三个名称是什么?(按字母顺序输入姓名)

我已经知道主机受到了 REvil 勒索软件的攻击