近日，天融信諦聽實驗室捕獲到Conti勒索病毒。Conti是工業(yè)領(lǐng)域最活躍的勒索病毒之一，據(jù)統(tǒng)計Conti已成功攻擊至少475個組織并竊取其數(shù)據(jù)，包括大眾汽車集團(tuán)、工業(yè)物聯(lián)網(wǎng)廠商Advantech、臺達(dá)電子等機構(gòu)，其中絕大部分的數(shù)據(jù)已不同程度被公開。近日，一位烏克蘭研究人員在Twitter上披露Conti勒索軟件源代碼， Conti遭遇毀滅性打擊。本文專門針對Conti技術(shù)細(xì)節(jié)利用進(jìn)行分析，并提供防護(hù)建議。

目前，天融信諦聽實驗室已獲取該勒索病毒密鑰，可為感染該勒索病毒的客戶提供解密工具。天融信EDR、自適應(yīng)安全防御系統(tǒng)、過濾網(wǎng)關(guān)等產(chǎn)品均可精準(zhǔn)檢測并查殺該勒索病毒，天融信下一代防火墻可對該勒索病毒傳播途徑進(jìn)行阻斷，有效防止勒索事件發(fā)生。

病毒分析

Conti勒索病毒v3版本的參數(shù)調(diào)用如下：

程序使用擴(kuò)展名.EXTEN，加密程度g_EncryptSize是指加密文件大小的百分比，默認(rèn)為50%。

靜態(tài)免殺

在32位系統(tǒng)中使用FS寄存器獲取到PEB地址后，通過遍歷內(nèi)核結(jié)構(gòu)體的鏈表并比較哈希值獲取kernel32.dll的基地址。

遍歷kernel32.dll等系統(tǒng)模塊的導(dǎo)出表名字并計算MurmurHash2A 哈希，通過查詢嵌入在二進(jìn)制PE中的MurmurHash2A哈希值尋找LoadLibraryA等必需的庫函數(shù)地址。MurmurHash2A算法，這是一種眾所周知的極快的非加密散列，適用于基于散列的查找，其項目開源地址為

https://github.com/abrandoned/murmur2/blob/master/MurmurHash2.c

通過__forceinline內(nèi)聯(lián)函數(shù)GetProcAddressEx2動態(tài)獲取所需要的API函數(shù)地址，主要作用是在導(dǎo)入表中隱藏所需要的API函數(shù)，防止被yara等規(guī)則靜態(tài)匹配分析。C++中inline和__inline通知編譯器將該函數(shù)的內(nèi)容拷貝一份放在調(diào)用函數(shù)的地方，這稱之為內(nèi)聯(lián)。內(nèi)聯(lián)減少了函數(shù)調(diào)用的開銷，但卻增加了代碼量。__forceinline關(guān)鍵字不基于編譯器的性能和優(yōu)化分析而依賴于程序員的判斷進(jìn)行內(nèi)聯(lián)。

反調(diào)試反HOOK

反HOOK的函數(shù)工作原理：通過GetModuleFileNameW 函數(shù)獲取模塊的路徑，該路徑將用于CreateFile函數(shù)創(chuàng)建句柄，然后使用CreateFileMapping和MapViewOfFile函數(shù)將系統(tǒng)庫再次映射到另一個內(nèi)存部分，這樣斷點就不會起作用。

通過遍歷導(dǎo)出表來獲取函數(shù)的地址，判斷獲取到的地址的OPCODE反匯編是否為jmp匯編指令，如果被HOOK最終通過CopyMemory函數(shù)修復(fù)被HOOK的函數(shù)地址。

混淆

字符串混淆

使用OBFA()和OBFW()函數(shù)進(jìn)行宏替換字符串混淆?！癘BFA”用于 ASCII 字符串，“OBFW”用于 UNICODE 字符串。函數(shù)中使用擴(kuò)展歐幾里得算法Extended Euclidean，每次都使用變化的數(shù)值生成混淆后的字符串。

算法中A、B是兩個會隨機變化的數(shù)字。(A*要加密字符byte+B)%127就是加密后的字符。

解密腳本鏈接：

https://github.com/Finch4/Malware-Analysis-

Reports/blob/master/conti_string_decrypt.py

指令混淆

Morphcode是宏替換混淆指令函數(shù)，混淆原理是使用MetaRandom2<0,0x7FFFFF - 1>::value隨機出一個數(shù)值，然后添加分別判斷它能否被2、3、4、5模整除的運算，依此添加大量無用匯編指令。

功能函數(shù)

TAILQ隊列處理

TAILQ隊列是FreeBSD內(nèi)核中的一種隊列數(shù)據(jù)結(jié)構(gòu)，主要用于處理隊列，在一些著名的開源庫中(如DPDK,libevent)有廣泛的應(yīng)用。

線程池

在threadpool命名空間中定義了Cteate、Start、PutTask、PutFinalTask、IsActive線程操作函數(shù)。在線程池的Start函數(shù)中創(chuàng)建名為ThreadPoolHandler的線程函數(shù)，ThreadPoolHandler線程函數(shù)主要進(jìn)行網(wǎng)絡(luò)和文件的加密。線程數(shù)量在完全加密模式下和處理器數(shù)量相同，其他模式下是處理器數(shù)量的兩倍。

主要功能函數(shù)列表：

刪除卷影副本

DeleteShadowCopies函數(shù)調(diào)用wbem的流程：

一、初始化COM

二、設(shè)置一般的COM安全等級

三、獲取最初的WMI的locator

四、通過IWbemLocator::ConnectServer方法連接WMI

五、設(shè)置代理上的安全等級

六、利用IWbemServices指針發(fā)出WMI請求

七、獲取請求的返回數(shù)據(jù)

核心加密算法

在遍歷文件的函數(shù)中使用核心加密函數(shù)cryptor::Encrypt函數(shù)開始加密文件。

在locker::GenKey方法中使用RSA公鑰加密隨機產(chǎn)生的ChaCha20算法（Salsa20加密算法的一種變體）的32字節(jié)key和8字節(jié)iv。

文件分類加密，具體針對不同的文件加密方法如下表。其中1M=1048576字節(jié)。

加密性能

在測試系統(tǒng)中，程序運行3分鐘完成全盤加密。加密過程中有約5萬個文件因為權(quán)限問題無法打開。

網(wǎng)絡(luò)共享文件加密

如果運行模式為-net或-all都會進(jìn)行網(wǎng)絡(luò)共享文件加密。在線程函數(shù)中會調(diào)用HostHandler函數(shù)來獲取網(wǎng)絡(luò)共享下其他主機的信息，如下為通過NetShareEnum函數(shù)枚舉到網(wǎng)絡(luò)共享文件夾后進(jìn)行處理加密路徑的代碼。

加密共享文件目錄下的多數(shù)文件時同樣會因權(quán)限問題不能進(jìn)行加密，但是/User/Public/目錄下的公共音視頻文件基本都可以被加密。

重啟系統(tǒng)安全模式加密

在zscaler公司的報告披露中，Conti還會以安全模式重啟系統(tǒng)并加密文件，其基本步驟如下：

一、執(zhí)行命令cmd.exe /c net user <admin> /active:yes以確保該帳戶已啟用。然后，Conti 將嘗試通過執(zhí)行命令cmd.exe /c net user<admin> “”將此帳戶的密碼更改為空字符串。將相應(yīng)的注冊表值設(shè)置為在系統(tǒng)重新啟動時以安全模式自動以管理員身份登錄：

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon下的注冊表值設(shè)置為以下值：

AutoAdminLogon= 1

DefaultUserName= <username>

DefaultDomainName= <computer_name or domain_name>

DefaultPassword= <password>

二、Conti然后執(zhí)行命令 bcedit.exe /set {current}safeboot network并通過調(diào)用 Windows API 函數(shù)ExitWindowsEx()強制系統(tǒng)重新啟動。這將在啟用網(wǎng)絡(luò)的安全模式下啟動Windows，因此Conti仍可加密網(wǎng)絡(luò)共享上的文件。

三、Conti 在安全模式下完成文件加密后，執(zhí)行命令bcedit.exe/deletevalue {current} safeboot并重新啟動系統(tǒng)。

天融信解密工具

已感染客戶可在天融信官網(wǎng)獲取解密工具，還原被加密的文件，無需安裝，綠色運行！

下載地址：

http://edr.topsec.com.cn/antiConti.exe

使用方法：選擇需要掃描的文件夾，點擊“掃描”即可對該文件夾下所有被Conti勒索病毒加密的文件進(jìn)行解密，也可將被加密文件直接拖入工具框進(jìn)行解密。

防護(hù)建議：

1、及時修復(fù)系統(tǒng)及應(yīng)用漏洞，降低被Conti勒索病毒通過漏洞入侵的風(fēng)險。

2、加強訪問控制，關(guān)閉不必要的端口，禁用不必要的連接，降低資產(chǎn)風(fēng)險暴露面。

3、更改系統(tǒng)及應(yīng)用使用的默認(rèn)密碼，配置高強度密碼認(rèn)證，并定期更新密碼，防止弱口令攻擊。

4、可安裝天融信安全產(chǎn)品加強防護(hù)，天融信EDR、自適應(yīng)、過濾網(wǎng)關(guān)產(chǎn)品可有效防御該勒索病毒。

天融信產(chǎn)品防御配置

天融信EDR系統(tǒng)

1、通過微隔離策略加強訪問控制，降低橫向感染風(fēng)險；

2、創(chuàng)建周期掃描任務(wù)，定時對主機進(jìn)行全面清理，消除安全隱患；

3、開啟病毒實時監(jiān)測功能，可有效預(yù)防和查殺該勒索病毒;

4、開啟系統(tǒng)加固功能，可有效攔截該勒索病毒對系統(tǒng)進(jìn)行破壞和篡改。

天融信自適應(yīng)安全防御系統(tǒng)

1、通過微隔離策略加強訪問控制，降低橫向感染風(fēng)險；

2、通過風(fēng)險發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令，降低風(fēng)險、減少資產(chǎn)暴露；

3、開啟病毒實時監(jiān)測功能，可有效預(yù)防和查殺該勒索病毒。

天融信下一代防火墻系統(tǒng)

1、通過訪問控制策略關(guān)閉不必要的端口和服務(wù)，降低內(nèi)網(wǎng)資產(chǎn)暴露風(fēng)險；

2、開啟入侵檢測防御功能，防御口令類攻擊手段，降低被入侵風(fēng)險；

3、通過訪問控制策略限制內(nèi)網(wǎng)中探測類數(shù)據(jù)包，降低內(nèi)網(wǎng)資產(chǎn)暴露和橫向感染風(fēng)險。

天融信過濾網(wǎng)關(guān)

1、升級到最新病毒特征庫；

2、開啟HTTP、POP3、SMTP、FTP、IMAP等協(xié)議的病毒掃描檢測；

3、配置病毒檢測處置策略;

4、開啟日志記錄和報警功能。

產(chǎn)品獲取方式：

1、天融信下一代防火墻、自適應(yīng)安全防御系統(tǒng)、EDR企業(yè)版：可通過天融信各地分公司獲?。ú樵兙W(wǎng)址：

http://gdxsl.cn/contact/）

2、天融信EDR單機版下載地址：

http://edr.topsec.com.cn

3、天融信過濾網(wǎng)關(guān)系統(tǒng)病毒庫下載地址：

ftp://ftp.topsec.com.cn/防病毒網(wǎng)關(guān)(Top-Filter)/病毒庫脫機升級包/。