ASEC(AhnLab 安全紧急响应中心)最近确认 Phobos 勒索软件正在积极传播。Phobos 勒索软件是一种已知的勒索软件变种,与 Dharma 和 CrySis 勒索软件在技术和操作上有相似之处。它们普遍具有利用暴露在外部作为攻击媒介的安全性较弱的RDP服务进行分发的特点,因此,利用安全性较弱的RDP作为初始访问的勒索软件的分发现象非常频繁地发生,因此管理员必须特别小心需要。
1.Phobos勒索软件概述
Phobos勒索软件是一种勒索软件,其特征是当文件被感染时,会在原始扩展名中添加“受感染PC的VSN(卷序列号)”和“攻击电子邮件地址”等信息。
..id[-].[].
图 1. Phobos 勒索软件感染后的扩展名变化
感染时创建的勒索字条以“info.txt”和“info.hta”文件的形式创建,如下所示,勒索字条中包含攻击者用于付款的电子邮件信息。
图 2. Phobos 勒索软件勒索字条 (info.txt)
图 3. Phobos 勒索软件的勒索信息 (info.hta)
该勒索软件的勒索字条创建方法是在本地和网络驱动器的所有加密过程完成后执行的,具有在每个进行加密的目录和以下路径中创建勒索字条的特征。
- %USERPROFILE%Desktopinfo.hta
- %USERPROFILE%Desktopinfo.txt
- %public%Desktopinfo.hta
- %public%Desktopinfo.txt
- info.hta
- info.txt
图 4. Phobos 勒索软件的勒索信息创建例程
2. Phobos勒索软件的主要特征
保持坚持
当勒索软件执行时,恶意代码被复制到%LOCALAPPDATA%路径并注册到下面的Run键中以保持持久性。这使得勒索软件即使在重新启动后也可以重新执行。
- HKLMSoftwareMicrosoftWindowsCurrentVersionRun
- HKCUSoftwareMicrosoftWindowsCurrentVersionRun
加密目标和异常条件
Phobos 勒索软件会加密系统中存在的所有文件,但以下异常路径、异常扩展名和异常文件名除外。在Phobos勒索软件的加密排除扩展中,除了phobos、eking等Phobos勒索软件变种的扩展之外,还确认了makop等非Phobos勒索软件的扩展。这似乎是为了排除那些感染其他勒索软件的人受到感染。此外,例外“文件名”、“扩展名”和“路径信息”以 AES 加密形式存在于恶意软件文件中,并在恶意软件执行期间被解密和使用。
表 1. Phobos 勒索软件加密目标和异常情况示例
此外,该勒索病毒还具有获取受感染系统的语言环境信息并终止感染的功能,无需在特定语言环境下进行感染,是否执行取决于配置设置。
图 5. 系统区域设置检查例程
终止目标进程
感染后,phobos 勒索软件会强制关闭以下文档、电子邮件客户端和数据库程序。这样做的目的是为了加密更多的文件,防止在文件加密过程中由于文件句柄占用而导致文件加密无法正常进行的情况。要终止的进程字符串以 AES 加密形式存在于恶意软件文件中,如下所示,并在执行期间解密和使用。
表 2. 终止的进程列表
禁用防火墙并删除卷影副本
Phobos 勒索软件解码 AES 加密的命令字符串,然后将它们作为“cmd.exe”进程的参数执行,从而禁用防火墙并删除卷影副本。
图 6. 命令执行(禁用防火墙:0x2A,删除卷影副本:0x2B)
表 3. Phobos 勒索软件的防火墙禁用和恢复预防功能
图 7. 禁用防火墙的命令
图 8. 删除卷影副本的命令
加密本地和网络共享文件夹
Phobos 勒索软件通过 AES CBC 模式为本地和网络资源提供加密。
图 9. 使用 AES 加密目标文件
其中,在本地驱动器加密过程中,通过 GetLogicalDrives() API 识别当前可用的驱动器。通过搜索已识别驱动器的位掩码选择要加密的驱动器后,将对目标驱动器执行加密。
图 10. Phobos 勒索软件对本地驱动器进行加密
Phobos勒索软件是一款具有代表性的勒索软件,支持对网络共享文件夹进行加密。为此,请将 RESOURCE_CONNECTED、RESOURCE_RECENT、RESOURCE_CONTEXT、RESOURCE_REMEMBERED 和 RESOURCE_GLOBALNET 指定为 WNetOpenEnumW() API 的 dwScope 参数,并进行多次调用以枚举现有或当前连接的网络共享资源。然后,通过为每个选定的网络资源调用加密线程来执行加密。
图 11. Phobos 勒索软件对网络共享文件夹的加密
三、结论
对外暴露的RDP服务安全性较弱,是许多攻击者在初始渗透和横向移动过程中不断利用的攻击载体。此类针对 RDP 服务的攻击通常是通过对具有不适当帐户信息的系统进行暴力破解和字典攻击来进行的。许多勒索软件攻击者,包括源自 Crysis 勒索软件的 Dharma 和 Phobos 勒索软件变体的攻击者,都使用不安全的 RDP 服务作为主要的初始攻击媒介。
如果用户不使用 RDP,则可以通过禁用 RDP 来减少攻击尝试。如果您使用RDP服务,您应该为您的帐户使用复杂的密码并定期更改,以防止暴力破解和字典攻击。另外,您必须小心,通过将V3更新到最新版本来提前防止恶意软件感染。
文件诊断
– Ransomware/Win.Phobos.R363595 (2023.08.24.00)行为诊断
– Ransom/MDP.Decoy.M1171
– Ransom/MDP.Command.M2255IOC
MD5
– d221b0a793cd10b00b0c1f943f6c1b63
– c6936c5cf4307a8bb793dbc7a9dcb9f1
– 5cfee29eae9f476e8b32491f4ef8ae2f
– 6cfa3d34a929cabcc54229b6e100a633
– bd7756138f48dc4ec8088e23ef6a4c80
– 0ef558c14d9894b6a011c9473c0f17c3
– 38bc0f4ac3bb83c5b7a041746b014910
– f2e4746363ba1c940fa315f737dd8a46
– 5b672f45d525b56eb0c4c146214f267e
– 9043580b1766661d8fde0d3e88026de1转载来源:https://asec.ahnlab.com/ko/58511/
图片来源网络目标可联系删除
