歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Phobos勒索軟件分析

來源:本站整理 作者:佚名 時間:2020-01-20 TAG: 我要投稿


近些年來,勒索軟件已經成為網絡犯罪分子的主流工具,對社會造成的危害正在逐漸加大。從2017年的大規模WannaCry爆發到2019年Ryuk造成的巨大攻擊,勒索軟件已經在全球黑客攻擊的工具中脫穎而出。根據目前的趨勢,勒索軟件的攻擊和工具迭代并沒有停止的跡象。比如Phobos勒索軟件家族,該家族以希臘恐懼之神的名字命名,“phobos”在希臘語中意味著“恐懼”。目前,Phobos勒索軟件家族在全球多個行業擴散,感染面積大,變種更新頻繁。
Phobos勒索軟件家族從2019年初期開始在全球流行,并持續更新以致出現了大量變種。通過RDP暴力破解和釣魚郵件等方式擴散到企業與個人用戶中,感染數量持續增長。Phobos是勒索軟件家族中新興的一個大家族,有時被也稱為Phobos NextGen和Phobos NotDharma,許多人認為此勒索軟件是Dharma勒索軟件家族(也稱為CrySis)的迭代產品或變種。Phobos勒索軟件家族與2016年出現的CrySIS/Dharma勒索軟件家族所使用的加密方式、部分代碼段、勒索信外觀與內容,以及用于加密文件的命名方式都較為相似。不排除為同一作者或Phobos勒索軟件攻擊者購買、利用CrySIS/Dharma勒索軟件相關代碼。
與Sodinokibi(odinokibi從2019年4月26日開始出現,其傳播方式主要為釣魚郵件、RDP暴力破解和漏洞利用)一樣,Phobos勒索軟件也以勒索軟件即服務(RaaS)軟件包在地下黑市被出售。這意味著,幾乎沒有專業技術知識的犯罪分子可以在工具包的幫助下創建他們自己的勒索軟件,并組織針對他們想要的目標的活動。Sodinokibi從2019年4月26日開始出現,其傳播方式主要為釣魚郵件、RDP暴力破解和漏洞利用。研究人員猜測Sodinokibi的幕后開發團隊和GandCrab的開發團隊有重合部分,在GandCrab組織宣布停止運營之后,部分GandCrab成員不愿收手,繼續運營新修改的勒索軟件Sodinokibi。
但是,專門從事勒索軟件響應服務的Coveware的研究人員指出,與同行相比,Phobos運營商的“組織性和專業性較差”,因為Coveware公司使用解密工具破解Phobos后,發現Phobos的設計很不專業。
Phobos勒索軟件的感染媒介
Phobos可以通過幾種方式進入攻擊目標,比如通過端口3389上的開放或不安全的遠程桌面協議(RDP)連接或強制使用的RDP憑證或使用被盜和購買的RDP憑證以,及老式的網絡釣魚。 Phobos操作人員還可以利用惡意附件、下載、補丁漏洞和軟件漏洞訪問組織的端點和網絡。
Phobos勒索軟件主要針對企業,然而,也有幾份報告顯示,Phobos也開始對普通用戶下手了。
被Phobos勒索軟件攻擊之后的反應

受Phobos勒索軟件變體影響的系統會出現以下反應:
1. 顯示贖金票據,受感染后,Phobos會以文本(.TXT)和可執行Web文件(.HTA)格式其受害者的目標設備上兩個勒索票據。在Phobos完成文件加密后,贖金票據會自動打開。

HTA贖金記錄,據悉是Dharma贖金記錄的重新命名版本
摘錄如下:
“由于電腦的安全問題,你所有的文件都被加密了。如果你想恢復他們,請用電子郵件與我們聯系。注意,將此ID寫入你的消息標題。如果我們的郵件沒有回應,你可以安裝Jabber客戶端并寫信給我們支持。你必須支付比特幣,價格取決于你給我們的回信速度。付款后,我們將發送解密工具,解密你的所有文件。”
如你所見,Phobos運營商要求受害者在勒索軟件感染的情況下與他們聯系。在其他變體的一些摘錄中,不包括通過Jabber聯系攻擊者的說明。Jabber 是著名的Linux即時通訊服務服務器,它是一個自由開源軟件,能讓用戶自己架即時通訊服務器,可以在Internet上應用,也可以在局域網中應用。
除了受害者可以通過相關渠道聯系到攻擊者外,這封勒索信還包含了他們如何獲取比特幣以及如何安裝messenger客戶端的信息。

這封短信的長度明顯短于它的HTA版本,這意味著,非技術領域的受害者將不得不依靠自己的研究來理解不熟悉的術語。注意,雖然它包含了在HTA文件中找到的電子郵件地址,但是它不包含生成的ID。
摘要如下:
“你所有的文件都是加密的!要解密它們,請向該地址發送電子郵件,如果我們的郵件沒有回復,你可以安裝Jabber客戶端并寫信給我們。”
在觸發了HTA贖金通知的開啟之后(這意味著Phobos加密已結束),我們注意到,這是一個攻擊力很大的勒索軟件,它繼續在后臺運行,并對其編程加密的新文件進行編碼,并且它可以在沒有互聯網連接的情況下做到這一點。
2. 在擴展名后附加長字符串的加密文件,Phobos使用AES-256和RSA-1024非對稱加密對目標文件進行加密。Phobos和Dharma實現了相同的RSA算法,然而,Phobos使用的是Windows Crypto API,而Dharma使用的是第三方靜態庫。在加密時,它在加密文件的末尾附加一個復合擴展名。
.ID[ID][email address 1].[added extension]
在以上公式中,[ID]是在贖金票據中指定的生成的ID號。它是由兩部分組成的字母數字字符串:受害人ID和版本ID,以短劃線分隔。 [email address 1]是受害者被指定用于與攻擊者聯系的電子郵件地址,這也在贖金說明中指定。最后,[added extension]是Phobos攻擊者決定將其勒索軟件與之關聯的擴展名。以下是Phobos使用的已知擴展的示例:
1500dollars
actin
Acton
actor
Acuff
Acuna
acute
adage
Adair
Adame
banhu

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 25选5一等奖多少钱 麻将来了怎么开好友房新版 在网上如何赚钱 福建快3预测号码 河北十一选五开奖查 下载科乐长春麻将 河北11选5遗漏数据查询 麻将来了作弊苹果 英超冠军最高积分 贵阳微乐捉鸡麻将手 黑龙江22选5一周开几次 广西福彩快3今天开奖 盛京棋牌官网下载 东方6十1最新开奖号码 玩麻将游戏 山东11选5走势