Phobos家族勒索病毒分析
○ 勒索信
○ 勒索图片
○ 文件类型
○ CRC32进行校验
○ 对样本进行提权操作
○ 关闭防火墙
○ 网络通讯
○ 持久化驻留
○ 终止进程
○ 文件加密
○ 全加密
○ 部分加密
○ 演变趋势
○ 声明
勒索信
NO.1
勒索信如下:
勒索图片
NO.2
文件类型
NO.3
Phobos加密各种文件,包括可执行文件。加密文件添加了入侵者的电子邮件。Phobos 的特定变体还添加了扩展名“.Devos”——
但是在不同的变体中遇到了不同的扩展名。一般模式是:
<original name>.id[<victim ID>-<version ID>][<attacker's e-mail>].<added extention>如下图:
查看加密文件内部,在末尾看到一个特定的块。它通过“0”字节填充与加密内容分开。该块的前 16 个字节对于每个文件都是唯一的。
然后是来自同一感染的每个文件中相同的 128 字节块。最后我们可以找到一个 6 个字符长的关键字,这是该勒索软件的关键字。
在这种情况下,如下图所示。但是,不同版本的 Phobos 已被观察到具有不同的关键字,即“DAT260”或者“LOCK96”。
CRC32进行校验
NO.4
使用 CRC32 算法检测样本完整性,该算法在病毒中多次使用。
对样本进行提权操作
NO.5
进行提权操作
关闭防火墙
NO.6
建通信管道,之后使用CreateProcessW打开了cmd进程,通过管道通信将命令写入cmd
关闭防火墙命令
网络通讯
NO.7
使用WinHttp接口进行网络通讯
持久化驻留
NO.8
在下列目录中对勒索病毒进行拷贝留存
C:UsersadminAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup
C:ProgramDataMicrosoftWindowsStartMenuProgramsStartup
C:UsersadminAppDataLocal
注册表中设置开机自启动项
SoftwareMicrosoftWindowsCurrentVersionRun
勒索病毒进行拷贝留存和注册表中设置开机自启动项操作
终止进程
NO.9
进程遍历,终止占据文件的进程,尽可能加密更多的文件
文件加密
NO.10
获取进程 pid、线程tid、获取运行时间,获取本地时间等随机数生成随机密钥
使用CreateFileW打开目标文件,获取文件大小。
使用SetFileAttributesW去除文件只读属性。
对文件大小进行判断,对比较小的文件进行全加密,对大文件进行部分加密。
全加密
NO.11
创建一个新文件,由目标文件名和加密后缀拼接。
使用ReadFile循环读取原文件内容,使用aes随机密钥进行cbc加密。
在完成加密后,还会拼接一段数据,可以看到其中有原文件名,aes密钥等信息,猜测为用于还原的信息。
之后对这段信息使用相同的密钥进行aes加密,写入新文件尾部。
最后删除原文件。
部分加密
NO.12
从原文件中截取三段内容,大小为0x40000字节,将三段内容和一些数据进行拼接,之后使用aes随机密钥进行加密,加密方式与全加密相同。
演变趋势
NO.13
1、加强加密算法:随着时间的推移,Phobos勒索病毒变得越来越复杂,它使用更加高级的加密算法来锁定受害者的文件,为解密提出更高的赎金。
2、攻击新的目标:Phobos勒索病毒不断发展,攻击范围也在大。它最初主要针对个人用户和小型企业,但现在已经扩展到针对大型企业和政府机构等更具有挑战性的目标。
3、使用社交工程技术:Phobos勒索病毒变种也越来越善于使用社交工程技术来欺骗用户下载恶意软件或打开恶意链接。例如,它可能伪装成银行或其他知名机构发送电子邮件、短信或社交媒体信息,引导用户点击恶意链接或附件。
4、针对云存储:随着越来越多的企业采用云存储服务,Phobos勒索病毒变种也开始针对这些服务进行攻击,尝试在云存储中加密文件并勒索赎金。
声明
NO.14
本文作者:XYZ
本文编辑:Yusa
感谢 XYZ 师傅 (๑•̀ㅂ•́)و✧
往期回顾
扫码关注我们
天虞实验室为赛宁网安旗下专业技术团队,重点攻关公司业务相关信息安全前沿技术。
原文始发于微信公众号(天虞实验室):Phobos家族勒索病毒分析
