利用遠控木馬傳播的Proton新型勒索分析
2023-07-28 445
利用遠控木馬傳播的Proton新型勒索分析
緊急程度:★★★★☆
影(yǐng)響平台:Windows
尊敬的用戶:
您好!
近日,亞信安全截獲新型勒索家(jiā)族Proton,該家(jiā)族勒索在23年首次被發現,其最早可(kě)追溯到今年四月份。該勒索通(tōng)過Web服務漏洞将遠控木馬上(shàng)傳到服務器(qì),然後釋放Proton勒索病毒的方式進行(xíng)傳播;或者通(tōng)過攜帶遠控木馬的釣魚郵件誘騙用戶下載遠控木馬進行(xíng)傳播,一旦遠控木馬被運行(xíng),其會(huì)釋放Proton勒索病毒,加密系統中的文件,關閉服務、進程以及Windows自帶的文件修複程序,生(shēng)成勒索信,索要贖金。
亞信安全産品OSCE和(hé)DS的最新病毒碼版本可(kě)以查殺遠控木馬及其釋放的Proton勒索病毒,DDEI産品可(kě)以有(yǒu)效攔截攜帶有(yǒu)遠控木馬的釣魚郵件。
病毒詳細分析
ü 該勒索樣本為(wèi)64位程序,使用UPX4.01進行(xíng)加殼保護。
ü 為(wèi)了加快加密的速度,該勒索軟件首先清空(kōng)所有(yǒu)本地磁盤驅動器(qì)中的垃圾站(zhàn)。
ü 将自身自拷貝到如下自啓動目錄下,該目錄下的文件每次重啓時(shí)自動執行(xíng),無需設置注冊表,實現病毒持久化駐留。
C:\Users\86173\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E748D97971AE4A0A.exe
ü 釋放并修改默認圖标
Proton中的字符通(tōng)過可(kě)逆的對稱加密進行(xíng)轉換,主要防止靜态的字符識别。
先用96減去變量,然後乘以24。解密算(suàn)法中用加127保證為(wèi)正值,第一次取模保證了數(shù)值不會(huì)過大(dà),第二次取模,保證了數(shù)值在127的循環群中。
for ( i = '\0'; i < 0x30; ++i ) v28[i] = (24 * (96 - (unsigned __int8)v28[i]) % 127 + 127) % 127; |
不同的地方作(zuò)者設置了不同的常數(shù)進行(xíng)字符混淆,但(dàn)是算(suàn)法沒有(yǒu)改變。對比代碼如下所示:
for ( j = '\0'; j < 0x26; ++j ) v25.m128i_i8[j] = (11 * (119 - v25.m128i_u8[j]) % 127 + 127) % 127; |
釋放圖标C:\ProgramData\E748D97971AE4A0A.ico
修改如下注冊表鍵值,将所有(yǒu).Proton文件均設置為(wèi)該圖标:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.Proton\DefaultIcon
C:\ProgramData\E748D97971AE4A0A.ico
ü 為(wèi)了盡可(kě)能的加密更多(duō)文件,勒索軟件會(huì)嘗試關閉sqlbrowser、mssql、tomcat、zhudongfangyu等相關服務,以防止關閉進程的時(shí)候,被相關驅動所攔截。
ü 為(wèi)了防止進程加密的時(shí)候進程被占用,該勒索會(huì)遍曆進程,并關閉相關進程。
ü 該勒索通(tōng)過如下命令删除卷影(yǐng)副本,從而使受害者無法恢複任何已被加密的文件。
vssadmin Delete Shadows /All /Quiet
ü 通(tōng)過如下命令,禁用Windows 10中的自動啓動修複功能和(hé)所有(yǒu)啓動故障檢測。
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
ü 讀取文件并對文件進行(xíng)加密,并将加密後的文件後綴修改為(wèi).[filesupport@airmail.cc].Proton
ü 解密并釋放勒索信:
【Proton勒索信】
加密算(suàn)法分析
該勒索使用了AES進行(xíng)加密。首先,設置需要使用的算(suàn)法為(wèi)AES,并設置加密屬性為(wèi)BCRYPT_CHAINING_MODE,加密模式為(wèi)BCRYPT_CHAIN_MODE_GCM
使用BCryptGenRandom生(shēng)成随機數(shù),然後根據預設的複雜的密鑰生(shēng)成算(suàn)法進行(xíng)密鑰生(shēng)成。再繼續生(shēng)成一個(gè)新的随機數(shù),加密文件的時(shí)候,作(zuò)為(wèi)填充信息使用。
上(shàng)文生(shēng)成中間(jiān)密鑰後,使用BCryptGenerateSymmetricKey進行(xíng)最終密鑰的生(shēng)成。然後使用BCryptEncrypt,對信息進行(xíng)加密,根據返回值來(lái)判斷是否加密成功。如果返回值為(wèi)0,加密成功,繼續執行(xíng)。如果返回值非0,加密失敗,使用ExitProcess退出程序。清空(kōng)密鑰生(shēng)成空(kōng)間(jiān)和(hé)密鑰本身,随後進行(xíng)下一輪加密。
亞信安全産品解決方案
ü 亞信安全夢蝶病毒碼可(kě)以對文中提及的惡意軟件進行(xíng)檢測。
ü 亞信安全病毒碼版本18.435.60,雲病毒碼版本18.435.71,全球碼版本18.435.00 可(kě)以對文中提及的惡意軟件進行(xíng)檢測,請(qǐng)用戶及時(shí)升級病毒碼版本。
ü 亞信安全DDEI可(kě)以有(yǒu)效攔文中提及的釣魚郵件:
安全建議
ü 建議用戶使用強口令;
ü 加強端口管理(lǐ):
l 關閉不必要的高(gāo)危端口,如必要開(kāi)啓,請(qǐng)設置對應的IP白名單
l 避免将高(gāo)危端口映射到公網
ü 不要點擊來(lái)源不明(míng)的郵件及附件,以及郵件中的鏈接;
ü 打開(kāi)系統自動更新,并檢測更新進行(xíng)安裝,打全系統補丁程序;
ü 重要文檔要注意備份,備份的最佳做(zuò)法是采取 3-2-1 規則,即至少(shǎo)做(zuò)三個(gè)副本,用兩種不同格式保存,并将副本放在異地存儲.
IOCs
aefcc3ad108474656a6e132eb0e13fff5ee0eb8c
a40cc1696458660956cd266576f3559e1fe27ea7
715583438644c9e77cfb1232c62f7ef18ae71b52
07972f35a969ef8f482be8300d61d985f61930c2
45e1a51c4be7f30f5024643818d570d566d8057c
7a3278b2f234941d5cf1e974e0caf8e46539bb6c
137c0dcbcf70b405e1d2952fd9b2882539cdebc9
d9c0360efcd912fe53b5157820faa04c6062b8b2
07fed95218f8d680688a28921ee18fb86dc0d5bd