受影响的平台:Microsoft Windows
受影响的各方:Windows用户
影响:为受害者的文件加密赎金
严重级别:严重
Phobos 勒索软件 家族是最近才出现的,直到2019年初才被安全研究人员首先发现。但是从那时起,它继续推出新的变种,不仅发展了攻击方法,而且还经常更改加密文件的扩展名。过去的变体。在其短暂的历史中,其受害者经常抱怨说,由于不还原文件,他们被火卫一的攻击者欺骗。
两周前,FortiGuard实验室从野外捕获了一个新的威胁样本。这是一个带有恶意宏的Microsoft Word文档,该宏旨在传播Phobos的EKING变体。我对该示例进行了深入的分析,在本分析文章中,我将展示此变种如何感染受害者的系统,以及它如何使用AES算法在受害者的设备以及共享的网络文件夹上扫描和加密文件。
在MS Office Word中打开捕获的示例
打开Word文档后,它会显示一条警告,指示受害者单击黄色栏中的“启用内容”按钮以启用宏,如图1.1所示。
由于宏可能包含恶意代码,因此默认情况下,MS Office Word会显示“安全警告”,警告用户文档可能存在风险。然后,用户可以决定是否执行宏(通过单击“启用内容”按钮)。
但是,文档警告屏幕是一个诡计。通过宏代码,我发现它具有一个名为Document_Close()的内置事件函数,当MS Office Word退出时会自动调用该函数。换句话说,当受害者关闭文档时,将执行恶意的宏代码。这还具有绕过某些沙箱解决方案进行检测的好处.
宏的代码简单明了。它从打开的样本中提取一个base64编码的块到“ C:\ Users \ Public \ Ksh1.xls”中的本地文件中。然后,通过调用命令“ Certutil -decode C:\ Users \ Public \ Ksh1.xls C:\ Users \ Public \ Ksh1.pdf ”将文件解码为另一个文件。“ Ksh1.pdf”是base64解码的文件,它是PE文件(DLL文件)。 图1.2 是宏代码的屏幕截图,显示了将在何处执行将base64解码的文件“ Ksh1.xls”转换为“ Ksh1.pdf”的命令。
宏的最后一项任务是通过执行命令“ Rundll32 C:\ Users \ Public \ Ksh1.pdf,In ”来执行解码的PE文件“ Ksh1.pdf ”。解码的PE文件“ Ksh1.pdf”是具有导出功能“ In ”的DLL文件,在上述命令行中由“ Rundll32.exe”调用。
图1.3显示了“ Ksh1.pdf”的导出功能“ In”的ASM代码。从我在ASM代码旁插入的注释中,可以很容易地理解到它首先在“ C:\ Users \ Public \ cs5”处创建了一个新目录。然后,它通过以下方式将文件从URL“ hxxp:// 178 [。] 62 [。] 19 [。] 66 / campo / v / v”下载到文件“ C:\ Users \ Public \ cs5 \ cs5.exe”中调用API“ URLDownloadToFile()”。最后,它通过调用API“ CreateProcessA()”来运行下载的“ cs5.exe”文件。顺便说一下,下载URL字符串和完整文件路径字符串在DLL文件“ Ksh1.pdf”中进行了硬编码。有趣的是,下载的文件“ cs5.exe”是Phobos的有效负载文件。
查看有效载荷EXE文件
“ C:\ Users \ Public \ cs5 \ cs5.exe”是Phobos的EKING变种的有效负载,该变种已被未知的封包程序保护,如图2.1中的Exeinfo PE所示。
Phobos具有AES加密的配置块,其中包含许多配置信息(此变体中为69项)。它们在与索引号参数一起使用之前在函数中解密。它还包含用于加密文件的新扩展名字符串,用于生成用于加密文件的密钥的数据,文件排除列表,Phobos的版本信息,受害者的赎金信息等等。
在图2.2中,我们可以看到解密加密文件“ .id [<< ID >>-2987]。[wiruxa@airmail.cc] .eking”的新扩展名的示例,其索引号为0x04。根据一个解密的字符串“ [<< ID >>-2987] v2.9.1”(索引号为0x33),我们知道此变体的版本为v2.9.1。
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
