利用遠控木馬傳播的Proton新型勒索分析
2023-07-28 294
利用遠控木馬傳播的Proton新型勒索分析
緊急程度:★★★★☆
影響平台:Windows
尊敬的用戶:
您好(hǎo)!
近日,亞信安全截獲新型勒索家族Proton,該家族勒索在23年首次被(bèi)發(fā)現,其最早可追溯到今年四月份。該勒索通過(guò)Web服務漏洞將(jiāng)遠控木馬上傳到服務器,然後(hòu)釋放Proton勒索病毒的方式進(jìn)行傳播;或者通過(guò)攜帶遠控木馬的釣魚郵件誘騙用戶下載遠控木馬進(jìn)行傳播,一旦遠控木馬被(bèi)運行,其會(huì)釋放Proton勒索病毒,加密系統中的文件,關閉服務、進(jìn)程以及Windows自帶的文件修複程序,生成(chéng)勒索信,索要贖金。
亞信安全産品OSCE和DS的最新病毒碼版本可以查殺遠控木馬及其釋放的Proton勒索病毒,DDEI産品可以有效攔截攜帶有遠控木馬的釣魚郵件。
病毒詳細分析
ü 該勒索樣(yàng)本爲64位程序,使用UPX4.01進(jìn)行加殼保護。
ü 爲了加快加密的速度,該勒索軟件首先清空所有本地磁盤驅動器中的垃圾站。
ü 將(jiāng)自身自拷貝到如下自啓動目錄下,該目錄下的文件每次重啓時(shí)自動執行,無需設置注冊表,實現病毒持久化駐留。
C:\Users\86173\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E748D97971AE4A0A.exe
ü 釋放并修改默認圖标
Proton中的字符通過(guò)可逆的對(duì)稱加密進(jìn)行轉換,主要防止靜态的字符識别。
先用96減去變量,然後(hòu)乘以24。解密算法中用加127保證爲正值,第一次取模保證了數值不會(huì)過(guò)大,第二次取模,保證了數值在127的循環群中。
for ( i = '\0'; i < 0x30; ++i ) v28[i] = (24 * (96 - (unsigned __int8)v28[i]) % 127 + 127) % 127; |
不同的地方作者設置了不同的常數進(jìn)行字符混淆,但是算法沒(méi)有改變。對(duì)比代碼如下所示:
for ( j = '\0'; j < 0x26; ++j ) v25.m128i_i8[j] = (11 * (119 - v25.m128i_u8[j]) % 127 + 127) % 127; |
釋放圖标C:\ProgramData\E748D97971AE4A0A.ico
修改如下注冊表鍵值,將(jiāng)所有.Proton文件均設置爲該圖标:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.Proton\DefaultIcon
C:\ProgramData\E748D97971AE4A0A.ico
ü 爲了盡可能(néng)的加密更多文件,勒索軟件會(huì)嘗試關閉sqlbrowser、mssql、tomcat、zhudongfangyu等相關服務,以防止關閉進(jìn)程的時(shí)候,被(bèi)相關驅動所攔截。
ü 爲了防止進(jìn)程加密的時(shí)候進(jìn)程被(bèi)占用,該勒索會(huì)遍曆進(jìn)程,并關閉相關進(jìn)程。
ü 該勒索通過(guò)如下命令删除卷影副本,從而使受害者無法恢複任何已被(bèi)加密的文件。
vssadmin Delete Shadows /All /Quiet
ü 通過(guò)如下命令,禁用Windows 10中的自動啓動修複功能(néng)和所有啓動故障檢測。
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
ü 讀取文件并對(duì)文件進(jìn)行加密,并將(jiāng)加密後(hòu)的文件後(hòu)綴修改爲.[filesupport@airmail.cc].Proton
ü 解密并釋放勒索信:
【Proton勒索信】
加密算法分析
該勒索使用了AES進(jìn)行加密。首先,設置需要使用的算法爲AES,并設置加密屬性爲BCRYPT_CHAINING_MODE,加密模式爲BCRYPT_CHAIN_MODE_GCM
使用BCryptGenRandom生成(chéng)随機數,然後(hòu)根據預設的複雜的密鑰生成(chéng)算法進(jìn)行密鑰生成(chéng)。再繼續生成(chéng)一個新的随機數,加密文件的時(shí)候,作爲填充信息使用。
上文生成(chéng)中間密鑰後(hòu),使用BCryptGenerateSymmetricKey進(jìn)行最終密鑰的生成(chéng)。然後(hòu)使用BCryptEncrypt,對(duì)信息進(jìn)行加密,根據返回值來判斷是否加密成(chéng)功。如果返回值爲0,加密成(chéng)功,繼續執行。如果返回值非0,加密失敗,使用ExitProcess退出程序。清空密鑰生成(chéng)空間和密鑰本身,随後(hòu)進(jìn)行下一輪加密。
亞信安全産品解決方案
ü 亞信安全夢蝶病毒碼可以對(duì)文中提及的惡意軟件進(jìn)行檢測。
ü 亞信安全病毒碼版本18.435.60,雲病毒碼版本18.435.71,全球碼版本18.435.00 可以對(duì)文中提及的惡意軟件進(jìn)行檢測,請用戶及時(shí)升級病毒碼版本。
ü 亞信安全DDEI可以有效攔文中提及的釣魚郵件:
安全建議
ü 建議用戶使用強口令;
ü 加強端口管理:
l 關閉不必要的高危端口,如必要開(kāi)啓,請設置對(duì)應的IP白名單
l 避免將(jiāng)高危端口映射到公網
ü 不要點擊來源不明的郵件及附件,以及郵件中的鏈接;
ü 打開(kāi)系統自動更新,并檢測更新進(jìn)行安裝,打全系統補丁程序;
ü 重要文檔要注意備份,備份的最佳做法是采取 3-2-1 規則,即至少做三個副本,用兩(liǎng)種(zhǒng)不同格式保存,并將(jiāng)副本放在異地存儲.
IOCs
aefcc3ad108474656a6e132eb0e13fff5ee0eb8c
a40cc1696458660956cd266576f3559e1fe27ea7
715583438644c9e77cfb1232c62f7ef18ae71b52
07972f35a969ef8f482be8300d61d985f61930c2
45e1a51c4be7f30f5024643818d570d566d8057c
7a3278b2f234941d5cf1e974e0caf8e46539bb6c
137c0dcbcf70b405e1d2952fd9b2882539cdebc9
d9c0360efcd912fe53b5157820faa04c6062b8b2
07fed95218f8d680688a28921ee18fb86dc0d5bd