Phobos 勒索软件系列是一组臭名昭著的恶意软件,旨在加密受害者计算机上的文件。它于 2019 年出现,此后参与了多次网络攻击。这种勒索软件通常会附加带有唯一扩展名的加密文件,并要求以加密货币支付赎金以获得解密密钥。FortiGuard Labs 捕获并报告了 Phobos 系列的多个勒索软件变体,包括EKING和8Base。
最近,FortiGuard 实验室发现了一份 Office 文档,其中包含一个 VBA 脚本,旨在传播 FAUST 勒索软件(Phobos 的另一个变体)。攻击者利用 Gitea 服务存储多个以 Base64 编码的文件,每个文件都携带恶意二进制文件。当这些文件被注入系统内存时,它们会发起文件加密攻击。图 1 显示了攻击链。
在本博客中,我们探讨了文件部署的不同阶段,并深入研究了所交付的恶意软件的详细信息。
图1:攻击流程
文件分析
我们发现的 XLAM 文档包含一个嵌入式 VBA 脚本,如图 2 所示。打开文档后,该脚本使用“Workbook_Open()”函数触发 PowerShell 进入下一阶段。然后,它从 Gitea 下载 Base64 编码的数据,该数据可以解码为干净的 XLSX 文件。然后,该文件保存在 TEMP 文件夹中并自动打开,误导用户认为该过程已完成并且不会造成任何损害。
图 2:VBA 脚本
图 3 显示了从变量“SkSLjvNc”检索到的解码代码。PowerShell脚本从hxxps://gitea[.]com/JoinPokingo/JingaPol/raw/branch/main/cfmifs_CRPT[.]txt下载数据,使用模式“DICK”提取“cfmifs_CRPT[.]txt”中的目标恶意部分{(.*)}DICK”并解码 Base64 的结果,如图 4 所示。最后,在“$env:APPDATA..Local”中选择一个随机文件夹,并将两个随机生成的字符附加到该文件夹中。文件夹名称,为其指定一个新名称。可执行文件“AVG update.exe”保存在这个新文件夹中,如图 5 所示。
图 3:PowerShell 脚本
图 4:解码后的文件和目标数据部分
图 5:新文件夹和保存的执行文件
EXE文件下载器
可执行文件“AVG update.exe”用作下载程序。它包含大量无关代码来逃避检测并使分析复杂化。它采用进程注入技术,分配读-写-执行(RWE)内存,将恶意代码注入新生成的进程中。此外,该文件在使用之前对其所有字符串进行编码,并使用特定的十六进制密钥对它们进行异或。图 6 显示了利用 XOR 十六进制键从编码字符串“blogaudit”获取 DLL 名称的汇编代码。
“blogauditblo”^ 0x29293d292439575B5A262023 =“KERNEL32.DLL”
图 6:解码 DLL 名称
它包含以下功能:
解码其“.rdata”部分,获取 MSIL 执行文件和随机生成的字符串作为类名,并将其保存为 TEMP 文件夹中的“SmartScreen Defender Windows.exe”。
图7:MSIL执行文件
使用命令“cmd /Ccurl -s”从 URL“hxxps://gitea[.]com/JoinPokingo/JingaPol/raw/branch/main/AppVStreamingUX_FST[.]txt”检索文件。
图 8:从 Gitea 下载数据的 Curl 命令
在 Base64 解码的“AppVStreamingUX_FST.txt”中搜索模式“DICK{(.*)}DICK”。并提取数据部署Base64解码获取shellcode。
利用 ZwAllocateVirtualMemory、NtWriteVirtualMemory、NtProtectVirtualMemory 和 RtlCreateUserThread 等基本 API 将 shellcode 注入“SmartScreen Defender Windows.exe”。
图 9:解码并注入 shellcode
攻击者在目标进程的内存中分配一个部分,插入恶意代码,并调用有效负载的入口点。
图 10:有效负载注入
图 11:调用注入的 FAUST 有效负载
FAUST 勒索软件
FAUST 勒索软件是 Phobos 系列的变种,是一种对受害者计算机上的文件进行加密的恶意软件。它要求支付赎金以换取提供解密密钥。该勒索软件将“.faust”扩展名附加到每个加密文件,并在加密文件所在的目录中生成 info.txt 和 info.hta。这些文件是与攻击者建立联系以进行赎金谈判的一种手段。
它检查互斥对象以确保只有一个进程正在运行,并通过将注册表添加到“HKCUSoftwareMicrosoftWindowsCurrentVersionRun”并将其自身复制到两个文件夹来添加持久性:“%APPDATA%MicrosoftWindows” 开始菜单程序启动和“C: ProgramData Microsoft Windows 开始菜单程序启动”。
这些文件夹与 Windows 启动配置相关联。前者是特定于用户的,在用户登录时启动程序,而后者是系统范围的,在系统启动期间影响所有用户。它们对于自动运行 FAUST 勒索软件至关重要。
为了避免破坏系统、双重加密文件或加密其赎金信息,它包含一个排除列表:
文件扩展名:faust, actin, DIKE, Acton, actor, Acuff, FILE, Acuna, fullz, MMXXII, GrafGrafel, kmrox, s0m1n, qos, cg, ext, rdptest, S0va, 6y8dghklp, SHTORM, NURRI, GHOST, FF6OM6, blue, NX, BACKJOHN, OWN, FS23, 2QZ3, top, blackrock, CHCRBO, G-STARS, faust, unknown, STEEL, worry, WIN, duck, fopra, unique, acute, adage, make, Adair, MLF, magic, Adame, banhu, banjo, Banks, Banta, Barak, Caleb, Cales, Caley, calix, Calle, Calum, Calvo, deuce, Dever, devil, Devoe, Devon, Devos, dewar, eight, eject, eking, Elbie, elbow, elder, phobos, help, blend, bqux, com, mamba, KARLOS, DDoS, phoenix, PLUT, karma, bbc, capital, wallet, lks, tech, s1g2n3a4l, murk, makop, ebaka, jook, logan, fiasko, gucci, decrypt, ooh, non, grt, lizard, flscrypt, sdk, 2023, 和 vhdv。
目录:C:Windows 和 C:ProgramDatamicrosoftwindowscaches
文件名:info.hta、info.txt、boot.ini、bootfont.bin、ntldr、ntDetect.com 和 io.sys。
与 Phobos 变种的典型行为一样,FAUST 勒索软件保留了配置的解密功能。以排除列表为例。它使用索引 7 表示文件扩展名,使用索引 8 表示文件名,使用索引 9 表示目录。
图 12:获取排除列表
它还启动多个线程来执行各种任务。这些任务包括部署加密、扫描逻辑驱动器、搜索网络/共享资源、单独扫描文件以及显式查找与数据库相关的文件(例如 fdb、sql、4dd、4dl、abs、abx、accdb、accdc、accde、adb 、adf、ckp、db、db-journal、db-shm、db-wal、db2、db3、dbc、dbf、dbs、dbt、dbv、dcb、dp1、eco、edb、epim、fcd、gdb、mdb、mdf 、ldf、myd、ndf、nwdb、nyf、sqlitedb、sqlite3 和 sqlite)。
加密文件的扩展名是“.id[-3512].[babylon4367@proton.me].faust”。它还会在受害者的设备上启动 HTML 版本的勒索字条“info.hta”。图 13 显示了指示受害者通过电子邮件、使用特定 ID 作为消息标题或通过 TOX 消息联系攻击者的消息。通过检查TOX ID,我们发现原卖家于2023年11月启动了销售流程,如图14所示。值得注意的是,销售活动仍在继续,用户应对这种持续的威胁保持警惕。
图 13:勒索信
图14:卖家帖子
结论
该报告深入研究了 Phobos 勒索软件的 FAUST 变体,深入了解从嵌入 VBA 脚本的 MS Excel 文档下载有效负载文件的过程。我们的分析发现,威胁行为者利用无文件攻击来部署 shellcode,将最终的 FAUST 有效负载注入受害者的系统。FAUST 变体展示了在环境中保持持久性并创建多个线程以实现高效执行的能力。为了保护设备免受潜在恶意软件威胁,用户必须谨慎行事,避免打开来自不受信任来源的文档文件。
IOCs
文件:
426284b7dedb929129687303f1bf7e4def607f404c93f7736d17241e43f0ab33
50e2cb600471fc38c4245d596f92f5444e7e17cd21dd794ba7d547e0f2d9a9d5
a0a59d83fa8631d0b9de2f477350faa89499e96fd5ec07069e30992aaabe913a
ebe77c060f8155e01703cfc898685f548b6da12379e6aefb996dbcaac201587c
c10dc2f6694414b68c10139195d7db2bb655f3afdcc1ac6885ef41ef1f0078df参考链接: https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust?&web_view=true
图片来源网络目标可联系删除
