Phobos勒索热度不减,绕过杀软花样百出

发布者:深信服千里目
发布于:2021-12-02 20:18

背景概述

老牌勒索病毒Phobos自从2019年出现以来,一直保持着很高的活跃度,并常年占据勒索病毒榜单前三,其不断推出新变种,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。

前期变种分析文章:《准备交赎金?当心Phobos勒索病毒二次加密!

图片

/Phobos勒索信页面/


近日,深信服安服应急响应中心联合终端安全团队捕获了一起Phobos勒索病毒的新变种,其通过伪装成正常的程序安装包,将勒索病毒主体加密保存到配置文件中的方式,绕过杀软检测。

可以看到,不同于以往简单粗暴的直接加密,勒索病毒越来越多的开始借鉴APT攻击中的一些高级技术,以提高攻击成功的概率,用户在使用电脑时更加需要增强安全意识,注意防范。 

 

样本分析

病毒母体伪装成了一个程序安装包:

图片

 

运行后会将程序安装释放到%appdata%\Plagius Device Service目录下并运行plagsync.exe:

图片

 

plagsync.exe运行后会加载动态链接库libGLES3.dll,如下:

图片

 

调用导出函数sws_printVec2,如下:

图片

 

读取changelog.xml文件:

图片

 

changelog.xml为一个xml格式的文件,如下:

图片

 

其中被插入了多段二进制数据:

图片

 

逐段提取出xml中的二进制数据:

图片

 

将二进制数据解密到内存中,结果为一个PE文件,即Phobos勒索病毒本体:

图片

 

装载运行解密出的PE文件,执行勒索行为:

图片

 

将进程对应文件即plagsync.exe拷贝到Local目录:

图片

 

通过注册表将plagsync.exe设置为自启动:

图片

 

将”Plagius Device Service”目录下的文件khjdr5ytekre.txt也拷贝到Local目录,但事实上”Plagius Device Service”目录下并不存在文件khjdr5ytekre.txt,因此猜测为其他变种的勒索payload,病毒的开发者这里可能使用了错误的变种文件,同时也可以看到Phobos已经开始用各种不同的方式绕过杀软:

图片

 

将plagsync.exe以及khjdr5ytekre.txt拷贝到系统启动项目录,如下:

图片

 

结束如下进程:

图片

 

删除磁盘卷影:

图片

 

关闭防火墙:

图片

 

获取磁盘信息:

图片

 

遍历文件:

图片

 

遍历共享文件:

图片

 

对文件进行加密,加密后的文件加上”Devos”后缀:

图片

 

生成并打开勒索信息文件:

图片


日常加固

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。

 

深信服安全产品解决方案

1. 深信服安全感知管理平台SIP、下一代防火墙AF、终端响应检测平台EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;

图片

 

2.深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3.深信服安全产品集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒;

4.深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。


声明:该文观点仅代表作者本人,转载请注明来自看雪