多样加密功能全面升级细数猖獗作恶“五宗罪”
與之前版本相比,Phobos勒索病毒變種在對加密勒索功能模塊偽裝、安全防護(hù)機(jī)制繞過及本地持久化等多方面都實(shí)現(xiàn)了升級。
1.“層層羊皮”包裹偽裝,加密勒索功能模塊行跡隱秘
當(dāng)用戶下載執(zhí)行在%userprofile%目錄下的exe文件,由powershell解密釋放落地后,會進(jìn)一步從木馬服務(wù)器,下載用于文件加密的可執(zhí)行程序zeVrk.exe等文件完成加密勒索行為。
pps.ps1解密exe文件數(shù)據(jù)并執(zhí)行
該病毒首先利用計劃任務(wù)中的SilentCleanup繞過UAC,然后從木馬服務(wù)器獲取原始文件名為zeVrk.exe的木馬程序。該木馬程序會從資源段中提取并解密經(jīng)過base64加密的名為“AndroidStudio.dll ”的dll數(shù)據(jù),調(diào)用其導(dǎo)出函數(shù)StartGame(),進(jìn)而繼續(xù)從dll的資源段提取加密的文件數(shù)據(jù),然后將其解壓縮并異或解密,還原為負(fù)責(zé)加密勒索功能的exe文件數(shù)據(jù),隨后加載該exe。“脫下”兩層資源段解密并加載的“羊皮”偽裝后,該exe將完成實(shí)質(zhì)上的文件加密操作。
zeVrk.exe解密資源段的AndroidStudio.dll文件數(shù)據(jù),調(diào)用其導(dǎo)出函數(shù)StartGame()
AndroidStudio.dll!StartGame解壓縮解密并加載負(fù)責(zé)文件加密exe
2.“入室”竊取隱私數(shù)據(jù),為潛在攻擊打下頭陣
一旦病毒變種入侵成功,其首先會在竊取目標(biāo)電腦上CPU型號、聲卡顯卡等硬件信息,以及所屬國家、IP地址、安裝軟件等用戶信息后,將這些信息寫入“system.txt”文件;同時還會嘗試獲取本機(jī)賬戶密碼信息,并寫入“password.txt”文件;也同樣會將獲取到的當(dāng)前屏幕截圖命名為“screenshot.jpg”。而后,其會將這三個文件打包為壓縮文件回傳木馬服務(wù)器并刪除本地的壓縮包文件,而這些被竊取的用戶信息很有可能為Phobos家族未來進(jìn)一步的潛在攻擊打下頭陣。
system.txt中記錄的受害者電腦信息
壓縮包記錄受害者信息的各文件
3.花式繞過Windows Defender,無視安全防護(hù)機(jī)制壁壘
該病毒變種還會通過木馬服務(wù)器下載原始文件名為“
Disable-Windows-Defender.exe”的程序來禁用Windows Defender的各功能。其方式包括:修改注冊表關(guān)閉Windows Defender實(shí)時保護(hù)等功能,調(diào)用powershell執(zhí)行“ Get-MpPreference -verbose”命令檢查當(dāng)前的Windows Defender設(shè)置,并嘗試關(guān)閉指定的Windows Defender功能。
修改注冊表關(guān)閉Windows Defender功能
調(diào)用powershell關(guān)閉Windows Defender功能
4.“投機(jī)取巧”繞過UAC,大肆執(zhí)行惡意行為
計劃任務(wù)中的SilentCleanup以普通用戶權(quán)限即可啟動,并且啟動后自動提升為高權(quán)限。該病毒變種根據(jù)這一特點(diǎn),利用計劃任務(wù)中權(quán)限控制不嚴(yán)格的SilentCleanup來繞過用戶賬戶控制UAC。
病毒變種利用SilentCleanup繞過UAC
5. 多重備份保證本地持久化,三大策略防止文件被恢復(fù)
病毒會將負(fù)責(zé)文件加密任務(wù)的zeVrk.exe文件拷貝到%LocalAppData%、%temp%以及開機(jī)啟動Startup目錄中,并添加zeVrk.exe文件路徑到注冊表啟動項(xiàng)中,從而實(shí)現(xiàn)加密勒索的本地持久化,達(dá)到當(dāng)用戶重啟計算機(jī)時再次掃描磁盤加密新文件的目的。
zeVrk.exe(原始文件名)所在目錄
病毒變種添加的注冊表啟動項(xiàng)
同時,為了防止加密文件的恢復(fù),該病毒變種會通過以下命令來刪除磁盤卷影備份, 修改啟動策略以禁用 Windows啟動修復(fù), 以及刪除windows server backup備份:
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
總結(jié)
以上是生活随笔為你收集整理的多样加密功能全面升级细数猖獗作恶“五宗罪”的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 斐波那契数列求和
- 下一篇: 静态页面通过AJAX+asp实现数据查询