Phobos勒索热度不减,绕过杀软花样百出

2021-12-03 4,712

背景概述

老牌勒索病毒Phobos自从2019年出现以来,一直保持着很高的活跃度,并常年占据勒索病毒榜单前三,其不断推出新变种,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。

前期变种分析文章:《准备交赎金?当心Phobos勒索病毒二次加密!

图片22.png

/Phobos勒索信页面/


近日,深信服安服应急响应中心联合终端安全团队捕获了一起Phobos勒索病毒的新变种,其通过伪装成正常的程序安装包,将勒索病毒主体加密保存到配置文件中的方式,绕过杀软检测。

可以看到,不同于以往简单粗暴的直接加密,勒索病毒越来越多的开始借鉴APT攻击中的一些高级技术,以提高攻击成功的概率,用户在使用电脑时更加需要增强安全意识,注意防范。 

 

样本分析

病毒母体伪装成了一个程序安装包:

图片1.png

 

运行后会将程序安装释放到%appdata%\Plagius Device Service目录下并运行plagsync.exe:

图片2.png

 

plagsync.exe运行后会加载动态链接库libGLES3.dll,如下:

图片3.png

 

调用导出函数sws_printVec2,如下:

图片4.png

 

读取changelog.xml文件:

图片5.png

 

changelog.xml为一个xml格式的文件,如下:

图片6.png

 

其中被插入了多段二进制数据:

图片7.png

 

逐段提取出xml中的二进制数据:

图片8.png

 

将二进制数据解密到内存中,结果为一个PE文件,即Phobos勒索病毒本体:

图片9.png

 

装载运行解密出的PE文件,执行勒索行为:

图片10.png

 

将进程对应文件即plagsync.exe拷贝到Local目录:

图片11.png

 

通过注册表将plagsync.exe设置为自启动:

图片12.png

 

将”Plagius Device Service”目录下的文件khjdr5ytekre.txt也拷贝到Local目录,但事实上”Plagius Device Service”目录下并不存在文件khjdr5ytekre.txt,因此猜测为其他变种的勒索payload,病毒的开发者这里可能使用了错误的变种文件,同时也可以看到Phobos已经开始用各种不同的方式绕过杀软:

图片13.png

 

将plagsync.exe以及khjdr5ytekre.txt拷贝到系统启动项目录,如下:

图片14.png

 

结束如下进程:

图片15.png

 

删除磁盘卷影:

图片16.png

 

关闭防火墙:

图片17.png

 

获取磁盘信息:

图片18.png

 

遍历文件:

图片19.png

 

遍历共享文件:

图片20.png

 

对文件进行加密,加密后的文件加上”Devos”后缀:

图片21.png

 

生成并打开勒索信息文件:


图片22.png

日常加固

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/170543.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:285 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号