Phobos勒索病毒在近年来的热度不断上升,感染率不断提升,该病毒执行后会加密各种文件,并以zip.id[number].[hudsonL@cock.li].Devos命名。
下面对该家族样本进行分析,主要分析该病毒特征和行为。
勒索信:
!!!All of your files are encrypted!!!To decrypt them send e-mail to this address: hudsonL@cock.li.If you have not received a response within 24 hours, write to us at Jabber: helprecovery@gnu.gr勒索图片:
![图片[1]-Phobos 勒索病毒样本分析-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-195053-1673589372.png)
一、CRC32进行校验
该样本开局使用CRC32算法检测样本完整性,该算法在病毒中多次使用。
![图片[2]-Phobos 勒索病毒样本分析-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-195053-1673589374.png)
二、对样本进行提权操作
判断样本权限,若没有权限,则进行提权操作。
![图片[3]-Phobos 勒索病毒样本分析-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-195053-1673589375.png)
三、使用AES进行消息解密
使用AES对密钥进行解密后,根据节表进行读取。
节表一区间为0xC,依次为索引、偏移、长度。
![图片[4]-Phobos 勒索病毒样本分析-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-195053-1673589376.png)
资源解密密钥如下:
00AAF128 87 8F 65 5E 1B 30 7D E2 97 4B 8C 35 E4 46 B5 01 ..e^.0}â.K.5äFµ.00AAF138 00 00 00 00 38 F1 F2 75 00 28 E3 00 18 F6 0F 01 ....8ñòu.(ã..ö..资源解密向量如下:
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 解密成功后部分:
![图片[5]-Phobos 勒索病毒样本分析-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-195053-1673589379.png)
四、网络通信
由于该样本未配置IP,故未产生网络连接
![图片[6]-Phobos 勒索病毒样本分析-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-195053-1673589382.png)
五、持久化驻留
在下列目录中对勒索病毒进行拷贝留存
C:Users86173AppDataLocal
C:Users86173AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup;
C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup
注册表中设置开机自启动项
SoftwareMicrosoftWindowsCurrentVersionRun
![图片[7]-Phobos 勒索病毒样本分析-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-195053-1673589383.png)
六、创建线程终止占据文件的进程
拍摄进程快照,依次判断进程是否有文件占用。
尝试终止进程,尽可能加密更多文件。
![图片[8]-Phobos 勒索病毒样本分析-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-195053-1673589384.png)
七、对文件进行勒索加密
1、通过随机数生成密钥,包括获取进程pid、tid、获取运行时间,获取本地时间等
![图片[9]-Phobos 勒索病毒样本分析-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-195053-1673589385.png)
2、判断文件是否为空,若不为空,设置文件属性,根据文件大小加密文件。
![图片[10]-Phobos 勒索病毒样本分析-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-195053-1673589386.png)
总结:
样本通过采用CRC32校验+AES加解密进行制作勒索样本。
- 进行CRC32校验
- 判断是否提权,若未提权则进行提权的相关操作
- AES解密相关消息,后面根据节表信息进行内容读取
- 建立网络通信,发送连接请求
- 持久化驻留,拷贝留存相关信息
- 创建线程终止占据文件的进程
- 随机创建加密密钥,对文件进行加密
由于使用作者公钥进行加密,故无私钥的情况下,AES暂时无法解密。
防范建议:
可以使用安装杀毒软件的方法进行防范。
该样本并未做太多对抗行为,特征明显,可以被传统杀软有效拦截。
C2:
33d32078ebe0c9429e405fdeb347dfb1ba5543e61d1179d13edffc7943b57640
本文作者:ChaMd5安全团队
本文为安全脉搏专栏作者发布:https://www.secpulse.com/archives/195053.html
![表情[chi]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/chi.gif)
![表情[xiaojiujie]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/xiaojiujie.gif)
![表情[weiqu]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/weiqu.gif)
![表情[qinqin]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/qinqin.gif)
![表情[leiben]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/leiben.gif)
![表情[baiyan]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/baiyan.gif)
请登录后查看评论内容