[[347750]]

0x00 概述

Phobos家族是最近出現(xiàn)的一種勒索軟件，在2019年初首次被研究人員發(fā)現(xiàn)。自此開始，該惡意軟件持續(xù)被發(fā)現(xiàn)存在新的變種。與原有變種相比，新的變種不僅持續(xù)改進(jìn)其攻擊方法，并且還經(jīng)常修改加密文件的擴(kuò)展名。盡管該勒索軟件持續(xù)的時(shí)間比較短暫，但有不少受害者都表示，他們支付了勒索的贖金，但文件卻沒有被恢復(fù)。

兩周前，F(xiàn)ortiGuard實(shí)驗(yàn)室從野外捕獲了一個(gè)新的威脅樣本。這是一個(gè)Microsoft Word文檔，帶有一個(gè)惡意宏，用于傳播Phobos勒索軟件名為EKING的變種。我們對(duì)該樣本進(jìn)行了深入的分析，在這篇分析文章中，我們將展現(xiàn)該變種是如何感染受害者的系統(tǒng)，以及它是如何在受害者設(shè)備和共享網(wǎng)絡(luò)文件夾上掃描并使用AES算法加密文件的。

0x01 在Word中打開捕獲的樣本

打開Word文檔之后，會(huì)顯示出一條警告，指示受害者單擊黃色欄中的“啟用內(nèi)容”按鈕以啟用宏，如下圖所示。

由于宏可能包含惡意代碼，因此在默認(rèn)情況下，MS Office Word會(huì)顯示一個(gè)“安全警告”，警告用戶該文檔可能存在風(fēng)險(xiǎn)。然后，用戶可以通過單擊“啟用內(nèi)容”按鈕來決定是否執(zhí)行宏。

MS Office Word中的樣本內(nèi)容。

但是，這個(gè)文檔中的安全警告是一個(gè)圈套。通過查看宏代碼，我們發(fā)現(xiàn)其中有一個(gè)名為Document_Close()的內(nèi)置文件函數(shù)，當(dāng)MS Office Word退出時(shí)，會(huì)自動(dòng)調(diào)用該函數(shù)。換而言之，當(dāng)受害者關(guān)閉文檔時(shí)，將會(huì)執(zhí)行惡意的宏代碼。這種方式還可以繞過某些沙箱解決方案，F(xiàn)ortiSandbox將這個(gè)惡意Word文件識(shí)別為風(fēng)險(xiǎn)軟件（Riskware）。

宏代碼非常簡(jiǎn)潔清晰，它從打開的樣本中提取一個(gè)Base 64編碼的塊，并保存在位于C:\Users\Public\Ksh1.xls的本地文件中。然后，通過調(diào)用命令“Certutil -decode C:\Users\Public\Ksh1.xls C:\Users\Public\Ksh1.pdf”將文件解碼為另一個(gè)文件。“Ksh1.pdf”是經(jīng)過Base64解碼后的文件，實(shí)際上是一個(gè)PE文件(DLL文件)。下面是宏代碼的截圖，展示了將在何處將Base64編碼后的文件“Ksh1.xls”解碼為“Ksh1.pdf”。

經(jīng)過Base64解碼后提取的文件：

 宏的最后一項(xiàng)任務(wù)是執(zhí)行命令“Rundll32 C:\Users\Public\Ksh1.pdf,In”來運(yùn)行解碼后的PE文件“Ksh1.pdf”。解碼后的PE文件“Ksh1.pdf”是包含導(dǎo)出函數(shù)“In”的DLL文件，在上述命令行中由“Rundll32.exe”調(diào)用。

導(dǎo)出函數(shù)In的ASM代碼：

上圖展示了“Ksh1.pdf”的導(dǎo)出函數(shù)In的ASM代碼。根據(jù)我在ASM代碼旁邊插入的注釋，我們很容易理解，它首先在“C:\Users\Public\cs5”處創(chuàng)建了一個(gè)新的目錄。然后，通過調(diào)用API “URLDownloadToFile()”從URL“hxxp://178[.]62[.]19[.]66/campo/v/v”下載文件并保存到“C:\Users\Public\cs5\cs5.exe”。最后，通過調(diào)用API “CreateProcessA()”來運(yùn)行下載的“cs5.exe”文件。在這里，下載URL字符串和完整文件路徑字符串都在DLL文件“Ksh1.pdf”中進(jìn)行了硬編碼。值得關(guān)注的是，下載的文件“cs5.exe”是Phobos的Payload文件。

0x02 分析Payload EXE文件

“C:\Users\Public\cs5\cs5.exe”是Phobos的EKING變種的Payload，該變種使用了未知的加殼工具，如下圖是Exeinfo PE顯示的結(jié)果。

受保護(hù)的Phobos Payload EXE文件：

 Phobos具有AES加密的配置塊，其中包含許多配置信息(在我們分析的變種中包含69項(xiàng))。它們?cè)谝粋€(gè)函數(shù)中被解密，然后隨著索引號(hào)參數(shù)一起被使用。其中還包含用于加密文件的新擴(kuò)展名字符串、用于生成加密密鑰的數(shù)據(jù)、文件擴(kuò)展名列表、Phobos的版本信息、受害者的勒索提示信息等等。

在下圖，我們可以看到對(duì)具有新擴(kuò)展名的加密文件“.id[<

從配置塊解密新的擴(kuò)展名：

 0x03 啟動(dòng)第二個(gè)進(jìn)程并執(zhí)行兩組命令

當(dāng)“cs5.exe”運(yùn)行時(shí)，它通過調(diào)用API CreateProcessWithTokenW() 以及來自Explorer.exe進(jìn)程的令牌來創(chuàng)建自身的第二個(gè)進(jìn)程，從而讓第二個(gè)進(jìn)程在Explorer.exe令牌的安全上下文中運(yùn)行。這樣一來，它就具有在受害者的系統(tǒng)上讀寫更多文件所需的特權(quán)。

Phobos在兩個(gè)創(chuàng)建的線程中執(zhí)行兩組命令。

下面列出了第一組命令，其中包含我添加的注釋：

vssadmin delete shadows /all /quiet – Deletes all of the volume's shadow copies. 
 
wmic shadowcopy delete – Deletes shadow copies from local computer. 
 
bcdedit /set {default} bootstatuspolicy ignoreallfailures 
 
bcdedit /set {default} recoveryenabled no – Disables the automatic startup repair feature. 
 
wbadmin delete catalog –quiet – Deletes the backup catalog. 
 
Exit 

通過刪除Windows系統(tǒng)用于系統(tǒng)還原的卷影副本，受害者無法再使用這一功能來還原加密的文件。勒索軟件還可以防止受害者通過自動(dòng)啟動(dòng)修復(fù)功能還原文件，或者從備份目錄中還原文件。

第二組命令關(guān)閉了受感染系統(tǒng)上的Windows防火墻，如下所示。

netsh advfirewall set currentprofile state off(Windows 7及更高版本) 
 
netsh firewall set opmode mode=disable(Windows XP和Windows 2003) 

0x04 添加自動(dòng)運(yùn)行項(xiàng)

該惡意軟件還從加密的配置塊中解密字符串“Software\Microsoft\Windows\CurrentVersion\Run”(索引號(hào)為0x11)，這是注冊(cè)表的子路徑。然后，會(huì)同時(shí)在HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER下創(chuàng)建一個(gè)自動(dòng)運(yùn)行項(xiàng)“cs5”。下圖是在HKEY_CURRENT_USER下添加的自動(dòng)運(yùn)行項(xiàng)的截圖。

添加自動(dòng)運(yùn)行項(xiàng)“cs5”：

 除了將此項(xiàng)添加到系統(tǒng)注冊(cè)表的自動(dòng)運(yùn)行組之外，勒索軟件還會(huì)將“cs5.exe”復(fù)制到兩個(gè)啟動(dòng)文件夾中，分別是“%AppData%\Microsoft\Windows\Start Menu\Programs\Startup”和“%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup”。下圖展示了將“cs5.exe”復(fù)制到兩個(gè)啟動(dòng)文件夾中的ASM代碼片段。

將Payload文件復(fù)制到啟動(dòng)文件夾中：

 在Windows啟動(dòng)時(shí)，Windows系統(tǒng)會(huì)自動(dòng)執(zhí)行這兩個(gè)文件夾中的可執(zhí)行文件。這意味著，Windows將在啟動(dòng)過程中運(yùn)行4個(gè)“cs5.exe”文件以保證惡意軟件的持久化。我們無需擔(dān)心會(huì)發(fā)生沖突，因?yàn)镻hobos使用了Mutex對(duì)象來確保僅有一個(gè)進(jìn)程正在運(yùn)行。如果存在相同的Mutex對(duì)象，則其他的“cs5.exe”進(jìn)程將會(huì)退出。

0x05 Phobos在受害者系統(tǒng)上執(zhí)行的核心任務(wù)

對(duì)于一個(gè)勒索軟件來說，其核心任務(wù)就是加密受害者的文件，然后進(jìn)行勒索，以換取對(duì)文件的解密。在這里，我們將詳細(xì)分析Phobos的EKING變種是如何執(zhí)行這一任務(wù)的。

為了提高性能，它創(chuàng)建了多個(gè)線程來掃描和加密受害者系統(tǒng)上的文件。此外，它使用了大量Event對(duì)象來控制和同步這些線程的進(jìn)度。

5.1 用于終止進(jìn)程的線程

通過使用線程的方式，勒索軟件可以終止特定名稱的41個(gè)進(jìn)程(在列表中指定)。名稱列表同樣也是保存在配置塊中，其索引號(hào)為0x0a。

msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;agntsvc.exe;mydesktopqos.exe;isqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;agntsvc.exe;agntsvc.exe;agntsvc.exe;encsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;excel.exe;infopath.exe;msaccess.exe;mspub.exe;onenote.exe;outlook.exe;powerpnt.exe;steam.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe 

在其他勒索軟件家族中，也經(jīng)常會(huì)發(fā)現(xiàn)相同的進(jìn)程名稱列表，這些勒索軟件也會(huì)進(jìn)行相同的操作。

這些進(jìn)程屬于MS SQL Server、Oracle Database、VMware、Panda Security、MySql、FireFox、SQL Anywhere、RedGate SQL Backup、MS Excel、MS Word、MS Access、MS PowerPoint、MS Publisher、MS OneNote、MS Outlook、The Bat!、Thunderbird、WordPad等產(chǎn)品。

Phobos會(huì)繼續(xù)終止這些應(yīng)用程序，以迫使它們釋放當(dāng)前打開的任何文件，從而可以對(duì)其進(jìn)行加密。

5.2 用于掃描文件并進(jìn)行加密的線程

該線程的線程函數(shù)調(diào)用API GetLogicalDrives()來獲取并枚舉受害者系統(tǒng)上的所有邏輯驅(qū)動(dòng)器，例如“C:\”、“D:\”、“E:\”等等。然后，它為每個(gè)邏輯驅(qū)動(dòng)器創(chuàng)建兩個(gè)掃描線程。這意味著，每個(gè)邏輯驅(qū)動(dòng)器中的文件都會(huì)使用兩個(gè)線程進(jìn)行處理。

忽略兩個(gè)系統(tǒng)文件夾：

 為了避免對(duì)受害者的Windows系統(tǒng)進(jìn)行破壞，它會(huì)忽略兩個(gè)系統(tǒng)文件夾及其子文件夾，不對(duì)其中的文件進(jìn)行加密，這兩個(gè)文件夾分別是“%WinDir%”(通常為“C:\Windows”)和“%ProgramData%\Microsoft\Windows\Caches”。下圖展示了Phobos檢測(cè)當(dāng)前路徑(“\\?\D:”)是否與它需要忽略的兩個(gè)系統(tǒng)文件夾匹配。

如前所述，勒索軟件創(chuàng)建了兩個(gè)線程來掃描每個(gè)驅(qū)動(dòng)器中的文件。一個(gè)線程用于普通掃描(一個(gè)文件接著一個(gè)文件)，另一個(gè)線程僅用于與數(shù)據(jù)庫相關(guān)的文件的特殊掃描。我們可以認(rèn)為這些文件對(duì)受害者的價(jià)值要大于其他文件。然后，會(huì)按照以下擴(kuò)展名的順序(索引號(hào)為0x06)來掃描數(shù)據(jù)庫文件：

fdb;sql;4dd;4dl;abs;abx;accdb;accdc;accde;adb;adf;ckp;db;db-journal; 
 
db-shm;db-wal;db2;db3;dbc;dbf;dbs;dbt;dbv;dcb;dp1;eco;edb;epim;fcd;gdb; 
 
mdb;mdf;ldf;myd;ndf;nwdb;nyf;sqlitedb;sqlite3;sqlite; 

除此之外，勒索軟件還包含兩個(gè)擴(kuò)展名排除列表。其中一個(gè)包含了Phobos此前曾使用過的加密文件擴(kuò)展名，如下所示(索引號(hào)為0x07)：

eking;actin;Acton;actor;Acuff;Acuna;acute;adage;Adair;Adame;banhu;banjo;Banks;Banta;Barak;Caleb;Cales;Caley;calix;Calle;Calum;Calvo;deuce;Dever;devil;Devoe;Devon;Devos;dewar;eight;eject;eking;Elbie;elbow;elder;phobos;help;blend;bqux;com;mamba;KARLOS;DDoS;phoenix;PLUT;karma;bbc;CAPITAL;WALLET; 

另一個(gè)列表包含此變種用于向受害者顯示勒索信息的文件，以及一些Windows系統(tǒng)文件，如下所示(索引號(hào)為0x08)：

info.hta;info.txt;boot.ini;bootfont.bin;ntldr;ntdetect.com;io.sys;osen.txt 

掃描線程在回調(diào)函數(shù)中使用這兩個(gè)排除列表來過濾文件，以根據(jù)其規(guī)則進(jìn)行加密。同時(shí)，Phobos還在每個(gè)掃描線程中創(chuàng)建了一個(gè)加密線程，用于對(duì)受害者的文件進(jìn)行加密。那么，掃描線程和加密線程如何協(xié)同工作呢?掃描線程繼續(xù)掃描文件，并將具有完整路徑的文件名復(fù)制到公共緩沖區(qū)中，在選擇一個(gè)文件后會(huì)設(shè)置一個(gè)事件。隨后，加密線程就可以從公共緩沖區(qū)中獲取文件名并進(jìn)行加密。

5.3 加密算法和密鑰的使用

Phobos使用AES算法的CBC模式作為其加密文件的加密算法。在我的分析中發(fā)現(xiàn)，Phobos的這一變種沒有使用Windows提供的用于AES的內(nèi)置Crypto API，而是自行實(shí)現(xiàn)了AES的功能。

我們知道，當(dāng)人們?cè)谡務(wù)揂ES CBC加密和解密時(shí)，通常會(huì)提到“IV”和“Key”。

對(duì)于其密鑰長(zhǎng)度，我們知道Phobos使用256位密鑰(20H字節(jié))，這是最強(qiáng)的文件加密。此外，它使用非對(duì)稱的公私鑰密碼系統(tǒng)來保護(hù)AES密鑰。公鑰包含在索引號(hào)為0x2的配置塊中，在解密后使用。

AES密鑰和已經(jīng)加密的公鑰：

 AES密鑰是使用10H字節(jié)的隨機(jī)數(shù)據(jù)和10H字節(jié)的數(shù)據(jù)，由解密的公鑰生成的。如下圖所示，在內(nèi)存窗口的最上方生成了AES密鑰(20H字節(jié))，接下來是加密的AES密鑰(80H字節(jié))的相關(guān)數(shù)據(jù)，這部分?jǐn)?shù)據(jù)是使用卷序列號(hào)“%systemdrive%”(例如受害者系統(tǒng)上的“C:\”)和公鑰生成的，同時(shí)還包含函數(shù)Sub_401706中的一些解密后的常量值。在加密的AES密鑰之后還有四個(gè)字節(jié)，其中包含上述兩部分的CRC32哈希值。

一旦受害者提供了系統(tǒng)驅(qū)動(dòng)器卷序列號(hào)(使用Phobos中的API GetVolumeInformationW())、加密的AES密鑰以及其他常量值數(shù)據(jù)，攻擊者就可以使用其持有的私鑰來還原AES密鑰。加密的AES密鑰將被記錄在加密的文件中，稍后我們將分析加密的文件結(jié)構(gòu)。正因如此，在勒索提示信息中要求了受害者提供系統(tǒng)驅(qū)動(dòng)器的卷序列號(hào)。

IV(初始向量)數(shù)據(jù)的長(zhǎng)度為10H字節(jié)，通常是隨機(jī)生成的。它也像加密的AES密鑰一樣，記錄在加密的文件中。IV與AES密鑰共同用于數(shù)據(jù)加密，就如同MD5算法中的鹽一樣。

在獲得IV數(shù)據(jù)和AES密鑰之后，就可以對(duì)加密的文件進(jìn)行解密。

5.4 用于加密文件的線程

如上所述，加密線程是由掃描線程啟動(dòng)。在掃描線程選擇文件后，就會(huì)將該文件的完整路徑復(fù)制到加密線程的公用緩沖區(qū)，該緩沖區(qū)由掃描線程通知(設(shè)置事件對(duì)象)。

然后，它將配置塊中的格式字符串(索引號(hào)0x04)解密為那些加密文件的新文件擴(kuò)展名，如下所示，其中的“<

.id[<>-2987].[wiruxa@airmail.cc].eking 

具有新擴(kuò)展名的加密文件：

 這一過程只是使用新的擴(kuò)展名，對(duì)加密文件進(jìn)行重命名的操作。這一次，由掃描線程選擇和過濾的文件是“\\?\E:\test_file.txt”，其加密的文件名是“\\?\E:\test_file.txt.id[[581F1093-2987].[wiruxa@airmail.cc].eking”。

然后，繼續(xù)讀取所選擇文件的內(nèi)容(例如“E:\test_file.txt”)。我們知道AES加密塊的大小固定為10H字節(jié)。因此，如果要加密的數(shù)據(jù)大小沒有與10H對(duì)齊，就需要使用填充數(shù)據(jù)來附加在原始數(shù)據(jù)的后面，以解決該問題。Phobos勒索軟件使用的填充字符為“00”。

調(diào)用AES_CBC_Encrypt()函數(shù)來加密文件內(nèi)容：

上圖顯示了Phobos調(diào)用AES_CBC_Encrypt()函數(shù)，其參數(shù)arg0是一個(gè)密鑰對(duì)象(AES_CTX Struct)，其中包含用于加密文件內(nèi)容的IV和密鑰(填充了三個(gè)“00”)。

加密后，Phobos通過調(diào)用API WriteFile()將密文保存到加密文件中(例如“E:\test_file.txt.id[[581F1093-2987].[wiruxa@airmail.cc].eking”)，如下圖所示。

將密文保存到加密文件中：

加密的文件內(nèi)容由兩部分組成，第一部分是原始文件內(nèi)容的密文，第二部分是一組數(shù)據(jù)，我們稱之為decryption_config_block，它用于解密第一部分。下圖展示了加密文件內(nèi)容的截圖，我們主要分析一下decryption_config_block中包含的內(nèi)容。

加密后的文件內(nèi)容示例：

 前10H字節(jié)(使用紅色標(biāo)記)是加密的原始文件內(nèi)容。后面的40H字節(jié)(使用藍(lán)色標(biāo)記)是一個(gè)加密塊，其中包含一些常量值以及原始文件名，這些文件使用相同的AES密鑰和IV進(jìn)行加密。隨后的14H字節(jié)“00”可以視為是數(shù)據(jù)定界符。后面的10H字節(jié)(使用黑色標(biāo)記)是這個(gè)文件的IV數(shù)據(jù)。接下來的Dword 0x03負(fù)責(zé)通知原始文件內(nèi)容附加填充的大小。有80H數(shù)據(jù)塊(使用綠色標(biāo)記)是加密的AES密鑰的相關(guān)數(shù)據(jù)，該數(shù)據(jù)在掃描線程中生成，并且對(duì)于不同的掃描線程來說是不同的。下面的Dword 0xF2是整個(gè)decryption_config_block的大小。最后的6個(gè)字節(jié)“4B E5 1F 84 A9 77”是從配置塊中索引號(hào)為0x00的位置解密獲得的。

之后，Phobos要做的最后一件事就是調(diào)用API DeleteFileW()來清除受害者系統(tǒng)中的原始文件。

5.5 掃描網(wǎng)絡(luò)共享資源

該線程函數(shù)用于網(wǎng)絡(luò)共享資源。Phobos使用參數(shù)dwScope的不同值來多次調(diào)用API WNetOpenEnum()。這些參數(shù)值分別是RESOURCE_CONNECTED、RESOURCE_RECENT、RESOURCE_CONTEXT、RESOURCE_REMEMBERED和RESOURCE_GLOBALNET。

RESOURCE_CONNECTED：列舉所有當(dāng)前連接的資源;

RESOURCE_RECENT：列舉所有最近連接的資源;

RESOURCE_CONTEXT：僅列舉調(diào)用方的網(wǎng)絡(luò)上下文中的資源;

RESOURCE_REMEMBERED：列舉所有記住的(持久)連接;

RESOURCE_GLOBALNET：列舉網(wǎng)絡(luò)上的所有資源。

在這里，使用到WNetOpenEnumW()和WNetEnumResourceW()這兩個(gè)API來枚舉網(wǎng)絡(luò)共享資源。

在成功獲取到其中的一種資源后，Phobos將使用上面的資源的完整地址(例如\\?\UNC\{resource name}\{folder name})，運(yùn)行5.2中所描述的兩個(gè)掃描進(jìn)程，開始掃描并篩選其中的文件。隨后，如5.4中所描述的，掃描線程啟動(dòng)加密線程，并對(duì)選擇的文件進(jìn)行加密。

針對(duì)其中一個(gè)共享資源，準(zhǔn)備啟動(dòng)掃描線程：

 上圖展示了通過RESOURCE_CONNECTED獲取的共享資源(“\\?\UNC\VBoxSvr\vbox_share_folder”)，該資源調(diào)用Sub_405840函數(shù)，從而針對(duì)這個(gè)共享資源啟動(dòng)新的掃描線程。

5.6 用于監(jiān)視和掃描新邏輯驅(qū)動(dòng)器的線程

我們之前分析過，Phobos會(huì)掃描本地邏輯驅(qū)動(dòng)器以及網(wǎng)絡(luò)共享資源上的文件，這些都是受害者系統(tǒng)當(dāng)前的所有資源。

然而，還有另外一個(gè)線程，其主要任務(wù)是監(jiān)視新的邏輯驅(qū)動(dòng)器。例如，受害者如果連接了U盤或手機(jī)，Windows系統(tǒng)會(huì)將其視為新的邏輯驅(qū)動(dòng)器。這個(gè)過程會(huì)被這一線程捕獲。該線程每秒運(yùn)行一次檢測(cè)，并對(duì)檢測(cè)到的任何新邏輯驅(qū)動(dòng)器啟動(dòng)兩個(gè)新的掃描線程。下圖展示了該線程功能的邏輯結(jié)構(gòu)偽代碼。

用于掃描新邏輯驅(qū)動(dòng)器的偽代碼：

 

0x06 向受害者顯示勒索提示信息

Phobos的主線程會(huì)等待所有掃描線程和加密線程完成工作。然后，將info.hta(HTML版本勒索提示信息)和info.txt(TXT版本勒索提示信息)這兩個(gè)文件拖放到桌面以及受害者系統(tǒng)上可用邏輯驅(qū)動(dòng)器的根目錄中。它還使用“open”命令調(diào)用API ShellExecuteExW()，以在受害者的屏幕上打開HTML版本的info.hta，如下圖所示。

向受害者顯示勒索提示信息：

 0x07 總結(jié)

在這篇文章中，我對(duì)Phobos勒索軟件的EKING變種進(jìn)行了深入分析。我們介紹了如何從原始MS Word文檔樣本中下載Payload文件(cs5.exe)，以及Phobos采取了哪些措施來使其在受害者的系統(tǒng)上持久存在。

我們深入分析了Phobos的核心任務(wù)——掃描并加密受害者系統(tǒng)上的文件。經(jīng)過分析之后，我們現(xiàn)在知道，它不僅僅會(huì)掃描邏輯驅(qū)動(dòng)器上的文件，還會(huì)掃描網(wǎng)絡(luò)共享資源和新連接的邏輯驅(qū)動(dòng)器。在最后，我們分析了Phobos的變種是如何使用多個(gè)線程來完成其工作的。

最后，我們解釋了Phobos在完成加密后如何向受害者顯示其勒索提示信息。

為了保護(hù)設(shè)備免受惡意軟件的攻擊，我們建議不要打開不受信任來源的電子郵件附件。

0x08 防護(hù)方案

使用Web過濾、反病毒和內(nèi)容安全產(chǎn)品，可以防范Phobos變種的攻擊，例如：

FortiGuard Web過濾服務(wù)將下載URL標(biāo)記為“惡意網(wǎng)站”;

FortiGuard反病毒服務(wù)將Word文檔和下載的Payload文件檢測(cè)為“VBA/Agent.KBU!tr”和“W32/Phobos.HGAF!tr.ransom”并阻止;

FortiSandbox將Word文檔檢測(cè)為風(fēng)險(xiǎn)軟件;

使用FortiMail的用戶可以檢測(cè)到原始Word文檔，并通過CDR服務(wù)進(jìn)一步加強(qiáng)保護(hù)，該服務(wù)可以用于消除Office文檔中的宏威脅。

此外，為了防止設(shè)備遭受到惡意軟件攻擊，我們建議用戶不要打開不受信任來源的電子郵件附件。我們強(qiáng)烈建議對(duì)所有最終用戶進(jìn)行關(guān)于如何甄別潛在惡意郵件的培訓(xùn)。

0x09 威脅指標(biāo)

9.1 網(wǎng)址

hxxp://178[.]62[.]19[.]66/campo/v/v

9.2 樣本SHA-256

Word文檔：

667F88E8DCD4A15529ED02BB20DA6AE2E5B195717EB630B20B9732C8573C4E83

Phobos Payload：

6E9C9B72D1BDB993184C7AA05D961E706A57B3BECF151CA4F883A80A07FDD955

0x0A 參考

https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html

 本文翻譯自：https://www.fortinet.com/blog/threat-research/deep-analysis-the-eking-variant-of-phobos-ransomware如若轉(zhuǎn)載，請(qǐng)注明原文地址。