欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Phobos勒索软件分析

来源:本站整理 作者:佚名 时间:2020-01-20 TAG: 我要投稿


近些年来,勒索软件已经成为网络犯罪分子的主流工具,对社会造成的危害正在逐渐加大。从2017年的大规模WannaCry爆发到2019年Ryuk造成的巨大攻击,勒索软件已经在全球黑客攻击的工具中脱颖而出。根据目前的趋势,勒索软件的攻击和工具迭代并没有停止的迹象。比如Phobos勒索软件家族,该家族以希腊恐惧之神的名字命名,“phobos”在希腊语中意味着“恐惧”。目前,Phobos勒索软件家族在全球多个行业扩散,感染面积大,变种更新频繁。
Phobos勒索软件家族从2019年初期开始在全球流行,并持续更新以致出现了大量变种。通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。Phobos是勒索软件家族中新兴的一个大家族,有时被也称为Phobos NextGen和Phobos NotDharma,许多人认为此勒索软件是Dharma勒索软件家族(也称为CrySis)的迭代产品或变种。Phobos勒索软件家族与2016年出现的CrySIS/Dharma勒索软件家族所使用的加密方式、部分代码段、勒索信外观与内容,以及用于加密文件的命名方式都较为相似。不排除为同一作者或Phobos勒索软件攻击者购买、利用CrySIS/Dharma勒索软件相关代码。
与Sodinokibi(odinokibi从2019年4月26日开始出现,其传播方式主要为钓鱼邮件、RDP暴力破解和漏洞利用)一样,Phobos勒索软件也以勒索软件即服务(RaaS)软件包在地下黑市被出售。这意味着,几乎没有专业技术知识的犯罪分子可以在工具包的帮助下创建他们自己的勒索软件,并组织针对他们想要的目标的活动。Sodinokibi从2019年4月26日开始出现,其传播方式主要为钓鱼邮件、RDP暴力破解和漏洞利用。研究人员猜测Sodinokibi的幕后开发团队和GandCrab的开发团队有重合部分,在GandCrab组织宣布停止运营之后,部分GandCrab成员不愿收手,继续运营新修改的勒索软件Sodinokibi。
但是,专门从事勒索软件响应服务的Coveware的研究人员指出,与同行相比,Phobos运营商的“组织性和专业性较差”,因为Coveware公司使用解密工具破解Phobos后,发现Phobos的设计很不专业。
Phobos勒索软件的感染媒介
Phobos可以通过几种方式进入攻击目标,比如通过端口3389上的开放或不安全的远程桌面协议(RDP)连接或强制使用的RDP凭证或使用被盗和购买的RDP凭证以,及老式的网络钓鱼。 Phobos操作人员还可以利用恶意附件、下载、补丁漏洞和软件漏洞访问组织的端点和网络。
Phobos勒索软件主要针对企业,然而,也有几份报告显示,Phobos也开始对普通用户下手了。
被Phobos勒索软件攻击之后的反应

受Phobos勒索软件变体影响的系统会出现以下反应:
1. 显示赎金票据,受感染后,Phobos会以文本(.TXT)和可执行Web文件(.HTA)格式其受害者的目标设备上两个勒索票据。在Phobos完成文件加密后,赎金票据会自动打开。

HTA赎金记录,据悉是Dharma赎金记录的重新命名版本
摘录如下:
“由于电脑的安全问题,你所有的文件都被加密了。如果你想恢复他们,请用电子邮件与我们联系。注意,将此ID写入你的消息标题。如果我们的邮件没有回应,你可以安装Jabber客户端并写信给我们支持。你必须支付比特币,价格取决于你给我们的回信速度。付款后,我们将发送解密工具,解密你的所有文件。”
如你所见,Phobos运营商要求受害者在勒索软件感染的情况下与他们联系。在其他变体的一些摘录中,不包括通过Jabber联系攻击者的说明。Jabber 是著名的Linux即时通讯服务服务器,它是一个自由开源软件,能让用户自己架即时通讯服务器,可以在Internet上应用,也可以在局域网中应用。
除了受害者可以通过相关渠道联系到攻击者外,这封勒索信还包含了他们如何获取比特币以及如何安装messenger客户端的信息。

这封短信的长度明显短于它的HTA版本,这意味着,非技术领域的受害者将不得不依靠自己的研究来理解不熟悉的术语。注意,虽然它包含了在HTA文件中找到的电子邮件地址,但是它不包含生成的ID。
摘要如下:
“你所有的文件都是加密的!要解密它们,请向该地址发送电子邮件,如果我们的邮件没有回复,你可以安装Jabber客户端并写信给我们。”
在触发了HTA赎金通知的开启之后(这意味着Phobos加密已结束),我们注意到,这是一个攻击力很大的勒索软件,它继续在后台运行,并对其编程加密的新文件进行编码,并且它可以在没有互联网连接的情况下做到这一点。
2. 在扩展名后附加长字符串的加密文件,Phobos使用AES-256和RSA-1024非对称加密对目标文件进行加密。Phobos和Dharma实现了相同的RSA算法,然而,Phobos使用的是Windows Crypto API,而Dharma使用的是第三方静态库。在加密时,它在加密文件的末尾附加一个复合扩展名。
.ID[ID][email address 1].[added extension]
在以上公式中,[ID]是在赎金票据中指定的生成的ID号。它是由两部分组成的字母数字字符串:受害人ID和版本ID,以短划线分隔。 [email address 1]是受害者被指定用于与攻击者联系的电子邮件地址,这也在赎金说明中指定。最后,[added extension]是Phobos攻击者决定将其勒索软件与之关联的扩展名。以下是Phobos使用的已知扩展的示例:
1500dollars
actin
Acton
actor
Acuff
Acuna
acute
adage
Adair
Adame
banhu

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载