Phobos捆綁某數控軟件AdobeIPCBroker組件定向勒索
前言
Phobos勒索病毒最早于2019年被首次發現并開始流行起來,該勒索病毒的勒索提示信息特征與CrySiS(Dharma)勒索病毒非常相似,但是兩款勒索病毒的代碼特征卻是完全不一樣,近日筆者在逛某開源惡意軟件沙箱的時候發現了一款Phobos勒索病毒捆綁某數控軟件目錄下的AdobeIPCBroker組件模塊加載執行,這種通過正常軟件捆綁勒索病毒的加載方式,此前也被應用于一些主流的勒索病毒攻擊活動,出與好奇,筆者對這款Phobos勒索病毒進行了深度的分析與研究。
對這款勒索病毒與CrySiS勒索病毒相關的信息,可以去參考筆者之前的一篇文章,里面有詳細的介紹。
深度分析
從開源沙箱平臺下載到該勒索病毒樣本,運行之后,啟動AdobeIPCBroker組件程序,如下所示:
該組件程序目錄下,包含的文件,如下所示:
加載執行的AdobeIPCBroker組件為正常軟件,如下所示:
通過初步分析,發現該目錄文件夾里面有幾個可疑文件,這幾個可疑的文件分別為:TmEvent.dll、libcui40.dll、ground,至于我是如何能快速定位發現這幾個可疑模塊的,可能是我個人經驗與直覺吧,這里也教大家一個比較笨的方法,就是查看這個組件程序加載了哪些模塊,然后再一個一個去人工逆向分析排查,這個時候也不能依靠VT,因為大多數情況下VT上是沒有這些樣本文件的,除非樣本已經被人傳到了VT上,有時候就算VT上有了這些樣本,也可能顯示為正常的,因為黑客在攻擊的時候已經做了相應的免殺處理,所以針對一些高端的黑客組織定向攻擊行動,任何工具以及平臺都只是起到輔助分析的作用,最后還是需要人工分析才能確認,安全永遠是人與人的對抗,這款軟件加載的相關DLL,如下所示:
該組件通過加載TmEvent.dll惡意模塊,動態加載libcui40.dll模塊的導出函數RenderObject,如下所示:
libcui40.dll模塊,加載ground惡意代碼到內存并解密執行,如下所示:
然后執行到解密的shellcode代碼處,如下所示:
解密出第二階段的shellcode代碼并跳轉執行,如下所示:
第二階段shellcode再次分配內存空間,如下所示:
在內存解密出勒索病毒核心代碼,如下所示:
通過對比之前phobos的Devos變種樣本,內存解密出來的勒索病毒核心代碼與此前勒索病毒核心代碼高度相似,可以判定該勒索病毒為Phobos勒索病毒Devos的變種家族,如下所示:
該勒索病毒加密后的文件,如下所示:
彈出的勒索提示信息,如下所示:
黑客留下的相關聯系方式,如下:
郵箱地址:
martin1993douglas@pressmail.ch
bryan1984jackson@tutanota.com
Telegram聯系方式:
@devos_support
Jabber聯系方式:
cris_nickson@xmpp.jp
威脅情報
HASH
A43453DC3F04860653FF23DB54F91F0D
5766B7A2FD2431D5FD95E7DFE53E9059
996C12AC07C7955FE018B68AC29FF8FB
72AD5CEBF69DE22B971997BB261EF519
PDB
D:\WinStandalone\qt\Users\pdb\pdb\Unicode Release\git\Bing\RE.pdb
總結
從上面的分析可以猜測這可能是一次定向勒索攻擊行動,該攻擊行動主要針對使用某數控機床仿真軟件的行業公司進行定向攻擊,免殺方面也做的很好,初期幾個惡意模塊在VT上基本都是顯示為正常的,黑客通過二次打包捆綁某數控機床仿真軟件程序,欺騙受害者安裝惡意程序,加載目錄下的勒索病毒惡意模塊文件。
通過一些常用的軟件捆綁勒索病毒的方式,也是勒索病毒攻擊的主要方式之一,大家在下載一些軟件的時候,一定要到正規的官方網站進行下載,同時要檢測安裝包軟件的數字簽名等信息是否完整有效,目前主流的勒索病毒都是無法解密的,同時勒索病毒的攻擊也會越來越向定向化攻擊發展為主,“APT式”的勒索病毒攻擊未來會成為勒索病毒攻擊的主要方式,可以預見,未來幾年“APT式”的勒索攻擊活動將是全球網絡安全最大的威脅之一,同時數據竊取類的高級威脅攻擊活動也將會越來越向定向化攻擊活動發展。
