freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Phobos勒索热度不减,绕过杀软花样百出
2021-12-02 20:05:46

背景概述

老牌勒索病毒Phobos自从2019年出现以来,一直保持着很高的活跃度,并常年占据勒索病毒榜单前三,其不断推出新变种,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。

/Phobos勒索信页面/

近日,深信服安服应急响应中心联合终端安全团队捕获了一起Phobos勒索病毒的新变种,其通过伪装成正常的程序安装包,将勒索病毒主体加密保存到配置文件中的方式,绕过杀软检测。

可以看到,不同于以往简单粗暴的直接加密,勒索病毒越来越多的开始借鉴APT攻击中的一些高级技术,以提高攻击成功的概率,用户在使用电脑时更加需要增强安全意识,注意防范。

样本分析

病毒母体伪装成了一个程序安装包:

运行后会将程序安装释放到%appdata%\Plagius Device Service目录下并运行plagsync.exe:

plagsync.exe运行后会加载动态链接库libGLES3.dll,如下:

调用导出函数sws_printVec2,如下:

读取changelog.xml文件:

changelog.xml为一个xml格式的文件,如下:

其中被插入了多段二进制数据:

逐段提取出xml中的二进制数据:

将二进制数据解密到内存中,结果为一个PE文件,即Phobos勒索病毒本体:

装载运行解密出的PE文件,执行勒索行为:

将进程对应文件即plagsync.exe拷贝到Local目录:

通过注册表将plagsync.exe设置为自启动:

将”Plagius Device Service”目录下的文件khjdr5ytekre.txt也拷贝到Local目录,但事实上”Plagius Device Service”目录下并不存在文件khjdr5ytekre.txt,因此猜测为其他变种的勒索payload,病毒的开发者这里可能使用了错误的变种文件,同时也可以看到Phobos已经开始用各种不同的方式绕过杀软:

将plagsync.exe以及khjdr5ytekre.txt拷贝到系统启动项目录,如下:

结束如下进程:

删除磁盘卷影:

关闭防火墙:

获取磁盘信息:

遍历文件:

遍历共享文件:

对文件进行加密,加密后的文件加上”Devos”后缀:

生成并打开勒索信息文件:

日常加固

  1. 日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;
  2. 使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;
  3. 避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;
  4. 定期检测系统漏洞并且及时进行补丁修复。

前期变种分析文章:《准备交赎金?当心Phobos勒索病毒二次加密!

# 系统安全 # 逆向分析 # 勒索病毒 # Phobos
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录