利用遠(yuǎn)控木馬傳播的(de)Proton新型勒索分析
2023-07-28 515
利用遠(yuǎn)控木馬傳播的(de)Proton新型勒索分析
緊急程度:★★★★☆
影響平台:Windows
尊敬的(de)用戶:
您好(hǎo)!
近(jìn)日(rì),亞信安全截獲新型勒索家(jiā)族Proton,該家(jiā)族勒索在23年(nián)首次被發現(xiàn),其最早可追溯到今年(nián)四月(yuè)份。該勒索通(tōng)過Web服務漏洞将遠(yuǎn)控木馬上(shàng)傳到服務器(qì),然後釋放(fàng)Proton勒索病毒的(de)方式進行傳播;或者通(tōng)過攜帶遠(yuǎn)控木馬的(de)釣魚郵件(jiàn)誘騙用戶下(xià)載遠(yuǎn)控木馬進行傳播,一旦遠(yuǎn)控木馬被運行,其會釋放(fàng)Proton勒索病毒,加密系統中的(de)文(wén)件(jiàn),關閉服務、進程以及Windows自(zì)帶的(de)文(wén)件(jiàn)修複程序,生(shēng)成勒索信,索要贖金(jīn)。
亞信安全産品OSCE和(hé)DS的(de)最新病毒碼版本可以查殺遠(yuǎn)控木馬及其釋放(fàng)的(de)Proton勒索病毒,DDEI産品可以有(yǒu)效攔截攜帶有(yǒu)遠(yuǎn)控木馬的(de)釣魚郵件(jiàn)。
病毒詳細分析
ü 該勒索樣本為(wèi)64位程序,使用UPX4.01進行加殼保護。
ü 為(wèi)了加快加密的(de)速度,該勒索軟件(jiàn)首先清空所有(yǒu)本地(dì)磁盤驅動器(qì)中的(de)垃圾站。
ü 将自(zì)身(shēn)自(zì)拷貝到如下(xià)自(zì)啓動目錄下(xià),該目錄下(xià)的(de)文(wén)件(jiàn)每次重啓時(shí)自(zì)動執行,無需設置注冊表,實現(xiàn)病毒持久化(huà)駐留。
C:\Users\86173\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E748D97971AE4A0A.exe
ü 釋放(fàng)并修改默認圖标
Proton中的(de)字符通(tōng)過可逆的(de)對(duì)稱加密進行轉換,主要防止靜态的(de)字符識别。
先用96減去(qù)變量,然後乘以24。解密算(suàn)法中用加127保證為(wèi)正值,第一次取模保證了數值不會過大,第二次取模,保證了數值在127的(de)循環群中。
for ( i = '\0'; i < 0x30; ++i ) v28[i] = (24 * (96 - (unsigned __int8)v28[i]) % 127 + 127) % 127; |
不同的(de)地(dì)方作(zuò)者設置了不同的(de)常數進行字符混淆,但(dàn)是算(suàn)法沒有(yǒu)改變。對(duì)比代碼如下(xià)所示:
for ( j = '\0'; j < 0x26; ++j ) v25.m128i_i8[j] = (11 * (119 - v25.m128i_u8[j]) % 127 + 127) % 127; |
釋放(fàng)圖标C:\ProgramData\E748D97971AE4A0A.ico
修改如下(xià)注冊表鍵值,将所有(yǒu).Proton文(wén)件(jiàn)均設置為(wèi)該圖标:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.Proton\DefaultIcon
C:\ProgramData\E748D97971AE4A0A.ico
ü 為(wèi)了盡可能的(de)加密更多文(wén)件(jiàn),勒索軟件(jiàn)會嘗試關閉sqlbrowser、mssql、tomcat、zhudongfangyu等相(xiàng)關服務,以防止關閉進程的(de)時(shí)候,被相(xiàng)關驅動所攔截。
ü 為(wèi)了防止進程加密的(de)時(shí)候進程被占用,該勒索會遍曆進程,并關閉相(xiàng)關進程。
ü 該勒索通(tōng)過如下(xià)命令删除卷影副本,從(cóng)而使受害者無法恢複任何已被加密的(de)文(wén)件(jiàn)。
vssadmin Delete Shadows /All /Quiet
ü 通(tōng)過如下(xià)命令,禁用Windows 10中的(de)自(zì)動啓動修複功能和(hé)所有(yǒu)啓動故障檢測。
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
ü 讀取文(wén)件(jiàn)并對(duì)文(wén)件(jiàn)進行加密,并将加密後的(de)文(wén)件(jiàn)後綴修改為(wèi).[filesupport@airmail.cc].Proton
ü 解密并釋放(fàng)勒索信:
【Proton勒索信】
加密算(suàn)法分析
該勒索使用了AES進行加密。首先,設置需要使用的(de)算(suàn)法為(wèi)AES,并設置加密屬性為(wèi)BCRYPT_CHAINING_MODE,加密模式為(wèi)BCRYPT_CHAIN_MODE_GCM
使用BCryptGenRandom生(shēng)成随機(jī)數,然後根據預設的(de)複雜(zá)的(de)密鑰生(shēng)成算(suàn)法進行密鑰生(shēng)成。再繼續生(shēng)成一個(gè)新的(de)随機(jī)數,加密文(wén)件(jiàn)的(de)時(shí)候,作(zuò)為(wèi)填充信息使用。
上(shàng)文(wén)生(shēng)成中間(jiān)密鑰後,使用BCryptGenerateSymmetricKey進行最終密鑰的(de)生(shēng)成。然後使用BCryptEncrypt,對(duì)信息進行加密,根據返回值來(lái)判斷是否加密成功。如果返回值為(wèi)0,加密成功,繼續執行。如果返回值非0,加密失敗,使用ExitProcess退出程序。清空密鑰生(shēng)成空間(jiān)和(hé)密鑰本身(shēn),随後進行下(xià)一輪加密。
亞信安全産品解決方案
ü 亞信安全夢蝶病毒碼可以對(duì)文(wén)中提及的(de)惡意軟件(jiàn)進行檢測。
ü 亞信安全病毒碼版本18.435.60,雲病毒碼版本18.435.71,全球碼版本18.435.00 可以對(duì)文(wén)中提及的(de)惡意軟件(jiàn)進行檢測,請用戶及時(shí)升級病毒碼版本。
ü 亞信安全DDEI可以有(yǒu)效攔文(wén)中提及的(de)釣魚郵件(jiàn):
安全建議(yì)
ü 建議(yì)用戶使用強口令;
ü 加強端口管理(lǐ):
l 關閉不必要的(de)高(gāo)危端口,如必要開(kāi)啓,請設置對(duì)應的(de)IP白名單
l 避免将高(gāo)危端口映射到公網
ü 不要點擊來(lái)源不明(míng)的(de)郵件(jiàn)及附件(jiàn),以及郵件(jiàn)中的(de)鏈接;
ü 打開(kāi)系統自(zì)動更新,并檢測更新進行安裝,打全系統補丁程序;
ü 重要文(wén)檔要注意備份,備份的(de)最佳做法是采取 3-2-1 規則,即至少做三個(gè)副本,用兩種不同格式保存,并将副本放(fàng)在異地(dì)存儲.
IOCs
aefcc3ad108474656a6e132eb0e13fff5ee0eb8c
a40cc1696458660956cd266576f3559e1fe27ea7
715583438644c9e77cfb1232c62f7ef18ae71b52
07972f35a969ef8f482be8300d61d985f61930c2
45e1a51c4be7f30f5024643818d570d566d8057c
7a3278b2f234941d5cf1e974e0caf8e46539bb6c
137c0dcbcf70b405e1d2952fd9b2882539cdebc9
d9c0360efcd912fe53b5157820faa04c6062b8b2
07fed95218f8d680688a28921ee18fb86dc0d5bd