imageportofolio

利用遠控木馬傳播的Proton新型勒索分(fēn)析

2023-07-28 425

利用遠控木馬傳播的Proton新型勒索分(fēn)析

 

緊急程度:★★★★☆

影響平台:Windows

 

尊敬的用戶:

您好!

 

近日,亞信安全截獲新型勒索家族Proton,該家族勒索在23年首次被發現,其最早可追溯到今年四月份。該勒索通過Web服務漏洞将遠控木馬上傳到服務器,然後釋放(fàng)Proton勒索病毒的方式進行傳播;或者通過攜帶遠控木馬的釣魚郵件誘騙用戶下(xià)載遠控木馬進行傳播,一(yī)旦遠控木馬被運行,其會釋放(fàng)Proton勒索病毒,加密系統中(zhōng)的文件,關閉服務、進程以及Windows自帶的文件修複程序,生(shēng)成勒索信,索要贖金。

 

亞信安全産品OSCEDS的最新病毒碼版本可以查殺遠控木馬及其釋放(fàng)的Proton勒索病毒,DDEI産品可以有效攔截攜帶有遠控木馬的釣魚郵件。

 

病毒詳細分(fēn)析

 

ü  該勒索樣本爲64位程序,使用UPX4.01進行加殼保護。

 

ü  爲了加快加密的速度,該勒索軟件首先清空所有本地磁盤驅動器中(zhōng)的垃圾站。

 

ü  将自身自拷貝到如下(xià)自啓動目錄下(xià),該目錄下(xià)的文件每次重啓時自動執行,無需設置注冊表,實現病毒持久化駐留。

C:\Users\86173\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E748D97971AE4A0A.exe

 

 

ü  釋放(fàng)并修改默認圖标

Proton中(zhōng)的字符通過可逆的對稱加密進行轉換,主要防止靜态的字符識别。

先用96減去(qù)變量,然後乘以24。解密算法中(zhōng)用加127保證爲正值,第一(yī)次取模保證了數值不會過大(dà),第二次取模,保證了數值在127的循環群中(zhōng)。

for ( i = '\0'; i < 0x30; ++i )

v28[i] = (24 * (96 - (unsigned __int8)v28[i]) % 127 + 127) % 127;

 

不同的地方作者設置了不同的常數進行字符混淆,但是算法沒有改變。對比代碼如下(xià)所示:

for ( j = '\0'; j < 0x26; ++j )

v25.m128i_i8[j] = (11 * (119 - v25.m128i_u8[j]) % 127 + 127) % 127;

 

釋放(fàng)圖标C:\ProgramData\E748D97971AE4A0A.ico

 

 

 

 

修改如下(xià)注冊表鍵值,将所有.Proton文件均設置爲該圖标:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.Proton\DefaultIcon

C:\ProgramData\E748D97971AE4A0A.ico

 

 

ü  爲了盡可能的加密更多文件,勒索軟件會嘗試關閉sqlbrowsermssqltomcatzhudongfangyu等相關服務,以防止關閉進程的時候,被相關驅動所攔截。

 

 

 

ü  爲了防止進程加密的時候進程被占用,該勒索會遍曆進程,并關閉相關進程。

 

 

 

ü  該勒索通過如下(xià)命令删除卷影副本,從而使受害者無法恢複任何已被加密的文件。
vssadmin Delete Shadows /All /Quiet

 

 

ü  通過如下(xià)命令,禁用Windows 10中(zhōng)的自動啓動修複功能和所有啓動故障檢測。

bcdedit /set {default} recoveryenabled No

bcdedit /set {default} bootstatuspolicy ignoreallfailures

 

 

ü  讀取文件并對文件進行加密,并将加密後的文件後綴修改爲.[filesupport@airmail.cc].Proton

 

 

 

ü  解密并釋放(fàng)勒索信:

 

 

Proton勒索信

 

加密算法分(fēn)析

 

該勒索使用了AES進行加密。首先,設置需要使用的算法爲AES,并設置加密屬性爲BCRYPT_CHAINING_MODE,加密模式爲BCRYPT_CHAIN_MODE_GCM

 

 

使用BCryptGenRandom生(shēng)成随機數,然後根據預設的複雜(zá)的密鑰生(shēng)成算法進行密鑰生(shēng)成。再繼續生(shēng)成一(yī)個新的随機數,加密文件的時候,作爲填充信息使用。

 

 

上文生(shēng)成中(zhōng)間密鑰後,使用BCryptGenerateSymmetricKey進行最終密鑰的生(shēng)成。然後使用BCryptEncrypt,對信息進行加密,根據返回值來判斷是否加密成功。如果返回值爲0,加密成功,繼續執行。如果返回值非0,加密失敗,使用ExitProcess退出程序。清空密鑰生(shēng)成空間和密鑰本身,随後進行下(xià)一(yī)輪加密。

 

 

 

亞信安全産品解決方案

 

ü  亞信安全夢蝶病毒碼可以對文中(zhōng)提及的惡意軟件進行檢測。

 

 

 

ü  亞信安全病毒碼版本18.435.60,雲病毒碼版本18.435.71,全球碼版本18.435.00 可以對文中(zhōng)提及的惡意軟件進行檢測,請用戶及時升級病毒碼版本。

 

 

ü  亞信安全DDEI可以有效攔文中(zhōng)提及的釣魚郵件:

 

 

安全建議

 

ü  建議用戶使用強口令;

ü  加強端口管理:

l 關閉不必要的高危端口,如必要開(kāi)啓,請設置對應的IP白(bái)名單

l 避免将高危端口映射到公網

ü  不要點擊來源不明的郵件及附件,以及郵件中(zhōng)的鏈接;

ü  打開(kāi)系統自動更新,并檢測更新進行安裝,打全系統補丁程序;

ü  重要文檔要注意備份,備份的最佳做法是采取 3-2-1 規則,即至少做三個副本,用兩種不同格式保存,并将副本放(fàng)在異地存儲.

 

IOCs

aefcc3ad108474656a6e132eb0e13fff5ee0eb8c

a40cc1696458660956cd266576f3559e1fe27ea7

715583438644c9e77cfb1232c62f7ef18ae71b52

07972f35a969ef8f482be8300d61d985f61930c2

45e1a51c4be7f30f5024643818d570d566d8057c

7a3278b2f234941d5cf1e974e0caf8e46539bb6c

137c0dcbcf70b405e1d2952fd9b2882539cdebc9

d9c0360efcd912fe53b5157820faa04c6062b8b2

07fed95218f8d680688a28921ee18fb86dc0d5bd