腾讯安全检测到Phorpiex僵尸网络变种持续活跃，可导致勒索病毒攻击、挖矿、或加密货币被盗

长按二维码关注

腾讯安全威胁情报中心

一、概述

腾讯安全威胁情报中心检测到Phorpiex僵尸网络新变种近期活动频繁，通过网络流量探针数据发现，Phorpiex僵尸网络新变种在今年三月以来有明显上升。

Phorpiex僵尸网络危害全球，是存在多年臭名昭著的网络犯罪团伙之一，根据国外安全厂商评估，该团伙是仅次于Emotet僵尸网络的第二大僵尸网络。微软公司称，从2020年12月到2021年2月，Phorpiex僵尸网络在160个国家/地区出现。遭遇率最高的国家是墨西哥（8.5％），哈萨克斯坦（7.8％）和乌兹别克斯坦（7.3％）。据腾讯安全的检测数据，该僵尸网络对我国威胁同样严重。

该团伙的作恶记录包括：分发过GandCrab在内的多种勒索病毒；下载挖矿木马利用肉鸡电脑算力挖矿；分发剪贴板大盗木马用于盗窃数字加密货币；群发垃圾邮件实施勒索诈骗等等。该僵尸网络的变种活跃，意味着各种无法预料的网络攻击可能随后便来，腾讯安全专家建议企业用户宜尽早防范。

Phorpiex僵尸网络新变种除保留了其家族的主要特征外，出现一些新变化：

• 删除了感染win32可执行程序的功能，删除了部分版本中的本地web目录exe文件替换功能。

• 启用了新的网络基础设施：IP或domain资源，这些基础设施从3月份后开始活跃。（185.215.113.93，feedmefile.top，gotsomefile.top，gimmefile.top）
  

• 增加了基于Tor网络的基础设施，使僵尸网络的通信更加隐蔽。（7fv5nq57k4qvbrpt.onion）
  

• 增加了处理Tor-onion请求的代理服务器功能。
  

• 该版本病毒对乌克兰地区进行了双重规避。

该版本保留了Phorpiex僵尸网络木马的主要技术特征：

• 包括其一贯使用窗口函数进行大量无效操作进行代码，行为混淆。
  

• 保留移动设备的感染功能。
  

• 保留比特币窃取功能。

腾讯安全全系列产品已支持检测拦截Phorpiex僵尸网络变种的攻击活动。

二、腾讯安全解决方案

Phorpiex僵尸网络变种相关的威胁数据已加入腾讯安全威胁情报数据库，赋能给腾讯全系列安全产品，客户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等安全产品检测防御相关威胁。

腾讯主机安全（云镜）可对病毒攻击过程中产生得木马落地文件进行自动检测，客户可登录腾讯云->主机安全控制台，检查病毒木马告警信息，将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。

腾讯云防火墙已支持对Phorpiex僵尸网络变种的攻击活动进行检测拦截，腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率很高的漏洞利用。

私有云客户可通过旁路部署腾讯高级威胁检测系统（NTA、御界）进行流量检测分析，及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统（NTA、御界）可检测到Phorpiex僵尸网络变种外连C2服务器。

私有云客户可通过旁路部署腾讯天幕（NIPS）实时拦截Phorpiex僵尸网络的通信连接，腾讯天幕（NIPS）基于腾讯自研安全算力算法PaaS优势，形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

欢迎长按识别以下二维码，添加腾讯安全小助手，咨询了解更多腾讯安全产品信息。

三、详细分析

该版本病毒会针对乌克兰地域做感染规避，为了保险，病毒使用了两种方式：
1.通过访问wipmania进一步获取到病毒被感染者IP地址位置信息，避开UA（指乌克兰）
2.通过GetLocaleInfoA获取本地系统语言信息，避开UKR（同指乌克兰）

以上两种方式均能避开乌克兰地区的病毒感染。

同时病毒使用了较新的IP&Domain基础设施，并尝试使用标准http请求方式下载，解密，执行，位于4个基础设施内得6个传播载荷，循环每20分钟一次，而当前并未投放实际载荷。

病毒还进一步新增了基于Tor的基础设施（7fv5nq57k4qvbrpt.onion），并自建了Tor代理服务器。病毒会尝试连接，下载，执行托管在onion地址内的恶意载荷，循环每60分钟获取一次。

其tor代理服务功能使用到的相关代码API调用，均使用了动态加载获取调用地址的方式，进一步躲避安全软件查杀。

当病毒使用Tor-onion基础设施（7fv5nq57k4qvbrpt.onion）地址时，使用INTERNET_OPEN_TYPE_PROXY方式，PROXY_NAME指向本地127.0.0.1，代理端口为随机。随后病毒在本地对该随机端口进行绑定监听，创建一个有16个线程的IOCP-Tor代理服务器用于处理该端口上接收到的onion地址访问请求。

分析版本变种病毒除投递其它载荷外，同时保留了一些恶意行为功能，例如，虚拟币剪切板替换窃取加密货币交易的功能。

感染移动存储设备：

虽然Phorpiex僵尸网络木马当前版本的目的未知，但不排除未来有进一步下发其它恶意病毒的可能，历史上我们曾捕获到Phorpiex的多次投递勒索病毒、挖矿木马和传播剪贴板大盗的行为。每次Phorpiex僵尸网络分发勒索软件，都会带来大批量的企业、个人系统被加密，造成严重损失。

四、威胁视角看攻击行为

ATT&CK阶段	行为
侦察	通过网络环境，本地系统语言环境判断是否为乌克兰做规避
资源开发	注册C2服务器
初始访问	通过被感染的U盘，或通过被感染的软件供应链渠道，或存在弱口令的VNC服务进行传播
执行	部分版本通过Powershell或者Bitsadmin进行恶意载荷的初始下拉执行
持久化	通过注册表run键值进行持久化
防御规避	病毒进程名lsass.exe，试图实现伪装系统进程
发现	部分版本病毒通过随机扫描目标开放5900端口信息以确认后续的VNC服务攻击
影响	僵尸网络后门的长期驻留给服务器带来不可预料的风险，蠕虫功能，门罗币矿机，勒索模块可能随时下发，都会给机器带来不可逆转的损失。

IOCs

Md5:

c96e333af964649bbc0f436c64758

IP&Domain&Onion:

185.215.113.93
feedmefile.top
gotsomefile.top
gimmefile.top
7fv5nq57k4qvbrpt.onion

Url:

hxxp://185.215.113.93/tt11
hxxp://185.215.113.93/tt22
hxxp://185.215.113.93/tt33
hxxp://185.215.113.93/tt44
hxxp://185.215.113.93/tt55
hxxp://185.215.113.93/tt66

参考链接：
1.Phorpiex变种：长期僵尸网络如何在当前威胁环境中持续发展
https://www.microsoft.com/security/blog/2021/05/20/phorpiex-morphs-how-a-longstanding-botnet-persists-and-thrives-in-the-current-threat-environment/

2.Phorpiex僵尸网络不甘作渠道，尝试自运营Knot勒索病毒
https://mp.weixin.qq.com/s/nRNFrEPBxIzH3mmwWzn-7Q

3.Phorpiex僵尸网络病毒新增感染可执行文件，同时传播Avaddon勒索病毒
https://mp.weixin.qq.com/s/sRE5CyyEutzs_Z9BDdyGnA

4.Nemty v2.5勒索借Phorpiex僵尸网络传播，可监视剪贴板劫持虚拟币交易
https://mp.weixin.qq.com/s/3kyLkoBd9K-5_VSk5Nnb6A

5.GandCrab 4.3勒索病毒再添新特性：借助Phorpiex蠕虫式主动传播，同时挖矿
https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q

关于腾讯安全威胁情报中心

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心

本文始发于微信公众号（腾讯安全威胁情报中心）：腾讯安全检测到Phorpiex僵尸网络变种持续活跃，可导致勒索病毒攻击、挖矿、或加密货币被盗