Phobos捆绑某数控软件AdobeIPCBroker组件定向勒索

最新推荐文章于 2024-02-23 16:02:55 发布
最新推荐文章于 2024-02-23 16:02:55 发布
阅读量1.4k 收藏 20
点赞数 28
分类专栏: 勒索病毒专题报告 文章标签: 勒索病毒 网络安全 安全威胁分析 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pandazhengzheng/article/details/136078736
版权

前言

Phobos勒索病毒最早于2019年被首次发现并开始流行起来,该勒索病毒的勒索提示信息特征与CrySiS(Dharma)勒索病毒非常相似,但是两款勒索病毒的代码特征却是完全不一样,近日笔者在逛某开源恶意软件沙箱的时候发现了一款Phobos勒索病毒捆绑某数控软件目录下的AdobeIPCBroker组件模块加载执行,这种通过正常软件捆绑勒索病毒的加载方式,此前也被应用于一些主流的勒索病毒攻击活动,出与好奇,笔者对这款Phobos勒索病毒进行了深度的分析与研究。

深度分析

从开源沙箱平台下载到该勒索病毒样本,运行之后,启动AdobeIPCBroker组件程序,如下所示:

该组件程序目录下,包含的文件,如下所示:

加载执行的AdobeIPCBroker组件为正常软件,如下所示:

通过初步分析,发现该目录文件夹里面有几个可疑文件,这几个可疑的文件分别为:TmEvent.dll、libcui40.dll、ground,至于我是如何能快速定位发现这几个可疑模块的,可能是我个人经验与直觉吧,这里也教大家一个比较笨的方法,就是查看这个组件程序加载了哪些模块,然后再一个一个去人工逆向分析排查,这个时候也不能依靠VT,因为大多数情况下VT上是没有这些样本文件的,除非样本已经被人传到了VT上,有时候就算VT上有了这些样本,也可能显示为正常的,因为黑客在攻击的时候已经做了相应的免杀处理,所以针对一些高端的黑客组织定向攻击行动,任何工具以及平台都只是起到辅助分析的作用,最后还是需要人工分析才能确认,安全永远是人与人的对抗,这款软件加载的相关DLL,如下所示:

该组件通过加载TmEvent.dll恶意模块,动态加载libcui40.dll模块的导出函数RenderObject,如下所示:

libcui40.dll模块,加载ground恶意代码到内存并解密执行,如下所示:

然后执行到解密的shellcode代码处,如下所示:

解密出第二阶段的shellcode代码并跳转执行,如下所示:

第二阶段shellcode再次分配内存空间,如下所示:

在内存解密出勒索病毒核心代码,如下所示:

通过对比之前phobos的Devos变种样本,内存解密出来的勒索病毒核心代码与此前勒索病毒核心代码高度相似,可以判定该勒索病毒为Phobos勒索病毒Devos的变种家族,如下所示:

该勒索病毒加密后的文件,如下所示:

弹出的勒索提示信息,如下所示:

黑客留下的相关联系方式,如下:

邮箱地址:

martin1993douglas@pressmail.ch

bryan1984jackson@tutanota.com

Telegram联系方式:

@devos_support

联系方式:

cris_nickson@xmpp.jp

总结

从上面的分析可以猜测这可能是一次定向勒索攻击行动,该攻击行动主要针对使用某数控机床仿真软件的行业公司进行定向攻击,免杀方面也做的很好,初期几个恶意模块在VT上基本都是显示为正常的,黑客通过二次打包捆绑某数控机床仿真软件程序,欺骗受害者安装恶意程序,加载目录下的勒索病毒恶意模块文件。

通过一些常用的软件捆绑勒索病毒的方式,也是勒索病毒攻击的主要方式之一,大家在下载一些软件的时候,一定要到正规的官方网站进行下载,同时要检测安装包软件的数字签名等信息是否完整有效,目前主流的勒索病毒都是无法解密的,同时勒索病毒的攻击也会越来越向定向化攻击发展为主,“APT式”的勒索病毒攻击未来会成为勒索病毒攻击的主要方式,可以预见,未来几年“APT式”的勒索攻击活动将是全球网络安全最大的威胁之一,同时数据窃取类的高级威胁攻击活动也将会越来越向定向化攻击活动发展。

最后还是那句话,做安全,不忘初心,坚持去做就可以了。

熊猫正正
关注
  • 28
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解决方案 | 解决Adobe Acrobat 2020安装报错的一些问题,如无法打开键
是希望的博客
03-17 1万+
文章目录报错和解决方法错误一:无法打开键:xxx错误二:代号1311错误类型,一些文件缺失错误三:安装文件损坏总结 报错和解决方法   之前安装过一次Acrobat,之前的Acrobat文件没有卸载干净,从某宝上面购买的Acrobat在安装的时候遇到了一些问题(客服远程操作都没解决),在自行谷歌一番后成功安装软件! Acrobat版本:2020 Windows版本:Windows 10 教育版 安全软件:火绒(以下错误均处于安全软件关闭状态时产生) 错误一:无法打开键:xxx 解决方法: 按下组
如何删除Mac下载PS后莫名其妙多出来的几个程序
m0_52752045的博客
08-13 1万+
不知道有人是否跟我一样,安装了Adobe Photoshop后启动台多了一个文件夹(包含AdobeIPCBroker,CCXProcess,Core Sync等等),一开始没太在意怕删掉影响正常使用,后来在活动监视器里无意中看到好几个adobe的进程都在后台运占用着cpu和内存,虽然占用很小但强迫症表示很难受,于是决定把这些莫名其妙的东西彻底删干净,但百度了一下好像并没有关于这些东西的详细介绍,删除的方法也比较零碎,这里简单做一下整理记录,希望能帮到有同样问题的人。 这些东西有什么用? 这是ad..
【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
2401_83062893的博客
02-23 1035
以上就是今天所要分享的全部的内容,本文介绍了本团队成功解决某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目的总结分享。
如何解决安装adobe系列软件提示已损坏无法打开的问题
zjj778899的博客
01-21 3555
最新安装adobe系列软件的时候提示已损坏,无法打开,您应该推出磁盘映像,这种情况如何解决?这里小编为大家提供详细图文教程: 视频教程: 打开终端工具输入并执行如下命令对应用签名: sudo xattr -rd com.apple.quarantine /Applications/xxxxxx.app 将上面的 xxxxxx.app 换成你的App名称,比如 Sketch.app sudo xattr -rd com.apple.quarantine /Applications/Ske
7网络 无法打开并写入文件_文件已在XXX打开,无法删除?
weixin_29793473的博客
01-13 252
文件正在使用,无法删除?常见的问题,冷门的解决方案问题当我们想要删除某个文件夹或文件时,冷不胜防地会出现以下类似的情况,一般只能不甘心地跳过,其实我们还是有办法来解决这个看似不是问题的问题解决方案1)按Ctrl+Shift+Esc启动任务管理器2)依次点击【性能】--【打开资源监视器】3)点击【CPU】,在【关联的句柄】中搜索一开始删除文件时提示的【AdobeIPC Broker】,注...
Adobe系列软件彻底清理方法(手动删除)
梦凝哲雪
03-13 2万+
最近安装DW遇见不少问题,百度找到一篇关于手动删除Adobe全家桶博客 记录一下 这里我把win系统的Adobe软件彻底卸载方法梳理一遍,主要是系统盘(C盘)里面的注册信息 、软件使用残留信息、激活信息。然后就是要进注册表删除注册值。 用卫士管家之类的软件卸载方式,我相信大家都试过,但是都卸载不干净,卸载之后总是安装失败。 一、使用官方清理工具先清理已安装程序 .\Content\Tools\Ad...
Adobe Acrobat Pro安装许可模块安装失败
热门推荐
jackson_hao的博客
06-07 5万+
1.问题描述: 若出现“Acrobat 许可模块安装失败”,请先删除AAM文件目录后再安装。 C:\Program Files (x86)\Common Files\Adobe\OOBE (请先终止AAM常驻进程 AdobeIPCBroker.exe) 如图: 2.解决方法: 说明:删除上图的文件夹即可。重点内容 3.安装过程: yes完成!!!!!!!!!...
Phobos勒索专杀工具
04-26
Phobos勒索专杀工具是一款专门针对名为Phobos勒索病毒设计的安全软件Phobos勒索病毒是一种恶意软件,它通过加密用户的文件并要求支付赎金来解锁,对个人和企业的数据安全构成了严重威胁。这款专杀工具的出现,...
360数字安全:2024年4月勒索软件流行态势分析报告
最新发布
06-09
- 在本月的勒索软件受害者中,Makop家族以22.83%的比例居首位,其次是TargetCompany(Mallox)家族占比20.55%,phobos家族以19.18%的比例排名第三。 - 在操作系统方面,Windows 10、Windows Server 2012以及Windows ...
360数字安全:2024年3月勒索软件流行态势分析报告
06-08
### 360数字安全:2024年3月勒索软件流行态势分析报告 #### 一、勒索软件概述及其影响 自勒索软件出现以来,它已经成为网络安全领域的一大威胁。根据360反勒索服务的统计数据,截至2024年3月,该服务已经接收到数万...
360数字安全:2024年1月勒索软件流行态势分析报告
06-08
根据360反勒索服务的数据统计,本月受勒索软件感染的设备中,phobos家族占比最高,达20.77%,其次是Makop家族(14.75%)和TargetCompany(Mallox)家族(13.11%)。在操作系统方面,Windows 10、Windows Server 2012和...
2021年勒索软件威胁报告(PA UNIT42).pdf
10-25
报告特别关注了一些最具代表性的勒索软件变种,如Ryuk、Maze (ChaCha)、Defray777、WastedLocker、GandCrab + REvil、NetWalker、DoppelPaymer、Dharma、Phobos以及Zeppelin。这些变种在2020年造成了大量破坏,显示...
MacOS技巧:如何禁用 Adob​​e 后台进程,保存 CPU、内存和网络活动
macwbear的博客
08-07 1728
最近有很多小伙伴咨询小编,没有运行任何adobe app软件,但是进程中显示运行中,如何禁止运行这些进程,而不影响adobe系列软件使用呢?小编为大家整理了详细的教程,收藏起来吧! 禁用 Adobe 后台进程操作步骤: 一、关闭所有 Adobe 应用程序。这包括 Creative Cloud 桌面应用程序 二、禁用 CoreSync Adobe CoreSync 自动将文档与 Adobe 的服务器同步,从而实现计算机之间的无缝转换。如果您使用 CoreSync,请跳过此步骤。 1.打开系统偏好设置 &gt
Mac实用软件及功能总结
isfly_cool的专栏
09-17 2万+
zh'zhuang 转载▼ 本人一年半来跟踪Mac志(http://www.isofts.org/category/software-for-mac-os-x/)、MacGG(http://www.macgg.com/archives/category/mac软件),潜心测试,用心总结出以下mac实用软件列表,尤其适合程序员…… 软件介绍多摘自以上两个网站,在此表示感谢。
2019年5月最新勒索病毒样本分析及数据恢复
weixin_33827731的博客
05-22 4454
1、GANDCRAB病毒病毒版本:GANDCRAB V5.2中毒特征:<原文件名>.随机字符串勒索信息:随机字符串-MANUAL.txt特征示例: readme.txt.pfdjjafw 2、GlobeImposter 3.0病毒(十二×××病毒)中毒特征:<原文件名>.XXXX4444勒索信息:HOW_TO_BACK_FILES.txt how_to_back_file...
Phobos勒索病毒完整处理过程
爱意随风起,人生不可弃。
12-30 1万+
文章目录Phobos概述事件概述Phobos病毒针对的系统问题综述:处置过程溯源分析过程事件应急处理安全加固和改进:杀毒软件是否起到作用火绒:电脑管家360杀毒日常防范措施: Phobos概述 Phobos通常通过RDP暴力破解+人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为[原文件名]+id[随机字符串]+[邮箱地址].phobos,相关的邮箱地址有tylecotebenji@aol.com、tedmundboardus@aol.com、h
深度分析Phobos 家族勒索病毒的 .eking变体
qq_38515028的博客
05-17 1058
受影响的平台:Microsoft Windows 受影响的各方:Windows用户 影响:为受害者的文件加密赎金 严重级别:严重 Phobos 勒索软件家族是最近才出现的,直到2019年初才被安全研究人员首先发现。但是从那时起,它继续推出新的变种,不仅发展了攻击方法,而且还经常更改加密文件的扩展名。过去的变体。在其短暂的历史中,其受害者经常抱怨说,由于不还原文件,他们被火卫一的攻击者欺骗。 两周前,FortiGuard实验室从野外捕获了一个新的威胁样本。这是一个带有恶意宏的Microsoft Word.
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8375
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
强敌环伺:金融业信息安全威胁分析——整体态势
AKAMAI_CHINA的博客
01-29 1110
在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面,金融服务业一直是最主要的三大被攻击目标垂直行业之一。金融服务业的Web应用程序和API攻击数量同比激增3.5倍,在所有主要行业中增速最快。如何阻止Web应用程序和API攻击利用新发现的零日漏洞针对金融服务业发起的攻击,在24小时内就可以轻松达到每小时数千次的规模,并且会快速达到峰值,这使得防御者几乎没时间打补丁或做出反应。
phobos勒索病毒解密工具
06-25
### 回答1: phobos勒索病毒是一种非常破坏性的计算机病毒,它会对用户的计算机进行加密,并要求用户支付赎金才能够获取解密密钥。这种病毒的出现给用户的生活和工作带来了很大的不便和麻烦,因此,很多专业的安全公司也在积极研发解密工具来帮助用户解决这个问题。 phobos勒索病毒解密工具是一种能够解密被该病毒加密的文件的软件程序。它可以在不向攻击者支付赎金的情况下,还原用户被加密的数据。在使用这种工具的时候,用户需要按照工具的使用说明进行操作,具体步骤主要包括下载并安装解密工具,选择被加密的文件,并且开始进行解密操作。在解密的过程中,用户需要根据工具提供的提示,输入密钥以完成解密。 但是需要注意的是,phobos勒索病毒解密工具可能不会完全解决用户所遇到的问题。因为病毒本身是会不断更新改进的,所以解密工具也需要不断跟进和更新才能够适应最新的病毒版本。因此,用户在使用解密工具进行解密的过程中,还需要注意备份和防范措施,并且在遇到问题时及时求助专业的技术人员,以尽可能保护自己的数据安全。 ### 回答2: Phobos勒索病毒是一种非常恶性的计算机病毒,它会通过加密系统文件和文档等方式,使得用户无法访问自己的计算机数据。这种病毒常常要求受害者支付赎金,以获取解密文件的密钥,否则就永远无法恢复自己的数据。 为了解决这个问题,专业的技术人员和安全公司开发了Phobos勒索病毒解密工具。这种工具能够通过解开Phobos勒索病毒加密的算法,找到并还原其中数据的密钥,使得受害者可以重新访问自己的文件和目录。 然而,使用Phobos勒索病毒解密工具并不是一件容易的事情。首先,这种工具只能用于特定版本的Phobos勒索病毒,对于其他版本的病毒可能无效。其次,解密工具的使用需要专业的技术人员和丰富的经验,否则可能会导致数据损坏或丢失。而且,解密工具可能需要付费购买,这增加了受害者的经济压力。 因此,为了避免被这种恶意病毒攻击,用户应该尽量提升自己的安全意识,加强计算机和文件的保护措施,定期备份重要数据。如果不幸感染了Phobos勒索病毒,建议第一时间联系专业的安全团队,寻求专业的帮助和建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

熊猫正正

请我喝杯咖啡吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值