Phobos家族勒索病毒分析

admin 2024年2月23日23:04:16评论18 views字数 1854阅读6分10秒阅读模式

Phobos家族勒索病毒分析

免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------

Phobos家族勒索病毒分析

Phobos家族勒索病毒分析

Phobos家族勒索病毒分析
目录

○ 勒索信

○ 勒索图片

○ 文件类型

○ CRC32进行校验

○ 对样本进行提权操作

○ 关闭防火墙

网络通讯

○ 持久化驻留

○ 终止进程

○ 文件加密

○ 全加密

○ 部分加密

○ 演变趋势

○ 声明

勒索信

Phobos家族勒索病毒分析

NO.1

勒索信如下:

Phobos家族勒索病毒分析

勒索图片

Phobos家族勒索病毒分析

NO.2

Phobos家族勒索病毒分析

文件类型

Phobos家族勒索病毒分析

NO.3

Phobos加密各种文件,包括可执行文件。加密文件添加了入侵者的电子邮件。Phobos 的特定变体还添加了扩展名“.Devos”——

但是在不同的变体中遇到了不同的扩展名。一般模式是:

<original name>.id[<victim ID>-<version ID>][<attacker's e-mail>].<added extention>

如下图:

Phobos家族勒索病毒分析

查看加密文件内部,在末尾看到一个特定的块。它通过“0”字节填充与加密内容分开。该块的前 16 个字节对于每个文件都是唯一的。

然后是来自同一感染的每个文件中相同的 128 字节块。最后我们可以找到一个 6 个字符长的关键字,这是该勒索软件的关键字。

在这种情况下,如下图所示。但是,不同版本的 Phobos 已被观察到具有不同的关键字,即“DAT260”或者“LOCK96”。

Phobos家族勒索病毒分析

CRC32进行校验

Phobos家族勒索病毒分析

NO.4

使用 CRC32 算法检测样本完整性,该算法在病毒中多次使用。

Phobos家族勒索病毒分析

对样本进行提权操作

Phobos家族勒索病毒分析

NO.5

进行提权操作

Phobos家族勒索病毒分析

关闭防火墙

Phobos家族勒索病毒分析

NO.6

建通信管道,之后使用CreateProcessW打开了cmd进程,通过管道通信将命令写入cmd

Phobos家族勒索病毒分析

关闭防火墙命令

Phobos家族勒索病毒分析

网络通讯

Phobos家族勒索病毒分析

NO.7

使用WinHttp接口进行网络通讯

Phobos家族勒索病毒分析

持久化驻留

Phobos家族勒索病毒分析

NO.8

在下列目录中对勒索病毒进行拷贝留存

C:UsersadminAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup

C:ProgramDataMicrosoftWindowsStartMenuProgramsStartup

C:UsersadminAppDataLocal

Phobos家族勒索病毒分析

注册表中设置开机自启动项

SoftwareMicrosoftWindowsCurrentVersionRun

Phobos家族勒索病毒分析

勒索病毒进行拷贝留存和注册表中设置开机自启动项操作

Phobos家族勒索病毒分析

终止进程

Phobos家族勒索病毒分析

NO.9

进程遍历,终止占据文件的进程,尽可能加密更多的文件

Phobos家族勒索病毒分析

文件加密

Phobos家族勒索病毒分析

NO.10

Phobos家族勒索病毒分析

获取进程 pid、线程tid、获取运行时间,获取本地时间等随机数生成随机密钥

Phobos家族勒索病毒分析

使用CreateFileW打开目标文件,获取文件大小。

使用SetFileAttributesW去除文件只读属性。

对文件大小进行判断,对比较小的文件进行全加密,对大文件进行部分加密。

Phobos家族勒索病毒分析

全加密

Phobos家族勒索病毒分析

NO.11

创建一个新文件,由目标文件名和加密后缀拼接。

Phobos家族勒索病毒分析

使用ReadFile循环读取原文件内容,使用aes随机密钥进行cbc加密。

在完成加密后,还会拼接一段数据,可以看到其中有原文件名,aes密钥等信息,猜测为用于还原的信息。

之后对这段信息使用相同的密钥进行aes加密,写入新文件尾部。

最后删除原文件。

Phobos家族勒索病毒分析

部分加密

Phobos家族勒索病毒分析

NO.12

从原文件中截取三段内容,大小为0x40000字节,将三段内容和一些数据进行拼接,之后使用aes随机密钥进行加密,加密方式与全加密相同。

Phobos家族勒索病毒分析

演变趋势

Phobos家族勒索病毒分析

NO.13

1、加强加密算法:随着时间的推移,Phobos勒索病毒变得越来越复杂,它使用更加高级的加密算法来锁定受害者的文件,为解密提出更高的赎金。

2、攻击新的目标:Phobos勒索病毒不断发展,攻击范围也在大。它最初主要针对个人用户和小型企业,但现在已经扩展到针对大型企业和政府机构等更具有挑战性的目标。

3、使用社交工程技术:Phobos勒索病毒变种也越来越善于使用社交工程技术来欺骗用户下载恶意软件或打开恶意链接。例如,它可能伪装成银行或其他知名机构发送电子邮件、短信或社交媒体信息,引导用户点击恶意链接或附件。

4、针对云存储:随着越来越多的企业采用云存储服务,Phobos勒索病毒变种也开始针对这些服务进行攻击,尝试在云存储中加密文件并勒索赎金。

原文始发于微信公众号(听风安全):Phobos家族勒索病毒分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月23日23:04:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Phobos家族勒索病毒分析http://cn-sec.com/archives/2114186.html

发表评论

匿名网友 填写信息