#Ransomware: Phân tích phần mềm tống tiền Phobos

Lưu ý: Tư vấn chung về An ninh mạng (CSA) này là một phần trong nỗ lực #StopRansomware đang diễn ra nhằm tư vấn dành cho những người quản trị mạng, nêu chi tiết các biến thể ransomware khác nhau và các tác nhân đe dọa #ransomware

ASV

Mar 31, 2024 - 01:52

Mar 31, 2024 - 02:01

236

#Ransomware: Phân tích phần mềm tống tiền Phobos

Cục Điều tra Liên bang (FBI), Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Trung tâm phân tích chia sẻ thông tin liên bang (MS-ISAC) đang phát hành CSA chung này để phổ biến các TTP và IOC đã biết có liên quan đến Phobos. Theo báo cáo nguồn mở, các biến thể #ransomware được quan sát gần đây nhất là vào tháng 2 năm 2024. Phobos được cấu trúc như một mô hình ransomware-as-a-service (#RaaS).

CHI TIẾT KỸ THUẬT

Tổng quan

Theo báo cáo mở, #ransomware Phobos có thể được kết nối với nhiều biến thể (bao gồm Elking, Eight, Devos, Backmydata và Faust ransomware) do các TTP tương tự được phát hiện. Phobos #ransomware hoạt động cùng với nhiều công cụ nguồn mở khác nhau như #Smokeloader, #Cobalt Strike và #Bloodhound. Tất cả các công cụ này đều có thể truy cập rộng rãi và dễ sử dụng trong nhiều môi trường hoạt động khác nhau, khiến nó (và các biến thể liên quan) trở thành lựa chọn phổ biến của nhiều kẻ tấn công.

Trinh sát và tiếp cận

Các tác nhân #Phobos thường có quyền truy cập ban đầu vào các mạng dễ bị tấn công bằng cách tận dụng các chiến dịch lừa đảo để cài mã độc hoặc sử dụng các công cụ quét giao thức internet (IP), chẳng hạn như Angry IP Scanner, để tìm kiếm các cổng Remote Desktop Protocol (RDP) dễ bị tấn công hoặc bằng cách tận dụng RDP trên môi trường Microsoft Windows đã biết.

Sau khi phát hiện ra một dịch vụ RDP bị lộ, kẻ tấn công sẽ sử dụng các công cụ mạnh mẽ để có quyền truy cập. Nếu tác nhân Phobos đạt được xác thực RDP thành công nó sẽ liên kết đến các server để thực hiện tấn công.

Ngoài ra, các tác nhân đe dọa gửi tệp đính kèm email giả mạo được nhúng với tải trọng ẩn chẳng hạn như SmokeLoader, một trojan cửa sau thường được sử dụng cùng với Phobos. Sau khi tải trọng ẩn của SmokeLoader được tải xuống hệ thống của nạn nhân, các tác nhân đe dọa sẽ sử dụng chức năng của phần mềm độc hại để tải payload Phobos và lấy dữ liệu từ hệ thống bị xâm nhập.

Thực thi và nâng cao đặc quyền

Các tác nhân Phobos chạy các tệp thực thi như 1saas.exe hoặc cmd.exe để triển khai các tải trọng (payload) Phobos bổ sung đã bật đặc quyền nâng cao. Ngoài ra, các tác nhân Phobos có thể sử dụng các lệnh trước đó để thực hiện các chức năng Windows Shell. Các lệnh đó cho phép các tác nhân đe dọa kiểm soát các khía cạnh khác nhau của hệ thống với nhiều cấp độ quyền cần thiết.

Triển khai Smokeloader

Trong giai đoạn đầu tiên, Smokeloader thao túng các chức năng API VirtualAlloc hoặc VirtualProtect cho phép chèn mã vào các tiến trình đang chạy và cho phép phần mềm độc hại trốn tránh các công cụ phòng thủ mạng.

Trong giai đoạn thứ hai, một quy trình lén lút được sử dụng để làm xáo trộn hoạt động chỉ huy và kiểm soát (C2) bằng cách tạo ra các yêu cầu tới các trang web hợp pháp. Trong giai đoạn này, shellcode cũng gửi lệnh gọi từ điểm vào đến vùng chứa bộ nhớ và chuẩn bị một tệp thực thi di động để triển khai ở giai đoạn cuối.

Cuối cùng, khi Smokeloader đạt đến giai đoạn thứ ba, nó sẽ giải nén một chu trình xóa chương trình khỏi bộ nhớ được lưu trữ, sau đó được gửi đi để trích xuất từ hàm băm SHA 256 dưới dạng tải trọng. Tiếp theo giải mã tải trọng (payload) thành công, kẻ đe dọa có thể bắt đầu tải xuống phần mềm độc hại bổ sung.

Khả năng né tránh phòng thủ

Người ta đã quan sát thấy các tác nhân ransomware Phobos vượt qua các giao thức bảo vệ mạng tổ chức bằng cách sửa đổi cấu hình tường lửa hệ thống bằng các lệnh như: netsh firewall set opmode mode=disable. Ngoài ra, các tác nhân Phobos có thể tránh bị phát hiện bằng cách sử dụng các công cụ sau: Universal Virus Sniffer, Process Hacker và PowerTool

Nâng cao đặc quyền

Theo báo cáo, ransomware Phobos sử dụng các lệnh như Exec.exe hoặc bcdedit[.]exe để điều khiển và sử dụng các thư mục Windows Startup và chạy các khóa đăng ký như C:/Users\Admin\AppData\Local\directory để duy trì trong môi trường bị xâm nhập.

Ngoài ra, các tác nhân Phobos đã được quan sát bằng cách sử dụng các hàm tích hợp trong Windows API để đánh cắp token, bỏ qua các biện pháp kiểm soát truy cập và tạo các quy trình mới để nâng cao đặc quyền bằng cách tận dụng quy trình SeDebugPrivilege. Tác nhân Phobos cố gắng xác thực bằng cách sử dụng mật khẩu đã băm được lưu trong bộ nhớ đệm trên máy nạn nhân cho đến khi chúng đạt được quyền truy cập của quản trị viên miền.

Khám phá và truy cập thông tin

Các tác nhân Phobos sử dụng thêm các công cụ nguồn mở chẳng hạn như Bloodhound và Sharphound để liệt kê thư mục hoạt động. Sử dụng Mimikatz và NirSoft, cũng như Remote Desktop Passview để xuất thông tin xác thực ứng dụng của trình duyệt trên máy khách. Hơn nữa, ransomware Phobos có thể liệt kê các thiết bị lưu trữ được kết nối, tiến trình đang chạy, và các file mà user mã hóa.

Lọc dữ liệu

Người ta đã quan sát thấy các tác nhân Phobos sử dụng WinSCP và Mega.io để lọc tệp. Chúng sử dụng WinSCP để kết nối trực tiếp từ mạng nạn nhân tới máy chủ FTP. Phobos cài đặt Mega.io và sử dụng nó để xuất trực tiếp các tệp nạn nhân sang nhà cung cấp dịch vụ lưu trữ đám mây. Dữ liệu thường được lưu trữ dưới dạng tệp .rar hoặc .zip sẽ được lọc sau. Chúng nhắm tới các tài liệu pháp lý, hồ sơ tài chính, tài liệu kỹ thuật (bao gồm cả kiến trúc mạng) và cơ sở dữ liệu cho phần mềm quản lý mật khẩu hay sử dụng.

Tác động

Sau giai đoạn lọc, các tác nhân của Phobos sẽ tìm kiếm bản sao lưu. Họ sử dụng vssadmin.exe và Windows Management Instrumentation command-line utility (WMIC) để khám phá và xóa các bản sao ổ đĩa (shadow copies) trong môi trường Windows. Điều này ngăn nạn nhân khôi phục tệp sau khi bị mã hóa.

Phobos.exe chứa chức năng mã hóa tất cả các ổ đĩa logic được kết nối trên máy chủ đích. Mỗi tệp thực thi ransomware Phobos có mã nhận dạng bản dựng (ID), ID liên kết duy nhất cũng như ghi chú tiền chuộc duy nhất được nhúng trong tệp thực thi. Sau khi thông báo đòi tiền chuộc xuất hiện trên các máy trạm bị nhiễm, phần mềm ransomware Phobos tiếp tục tìm kiếm và mã hóa các tệp bổ sung.

IOCs - CHỈ SỐ THỎA THUẬN

Bảng 1: Các tên miền liên kết với mã độc Phobos

Tên miền Phobos liên kết

serverxlogs21[.]xyz

demstat577d[.]xyz

adstat477d[.]xyz

Bảng 2: Các lệnh sử dụng

Shell Commands

vssadmin delete shadows /all /quiet

netsh advfirewall set currentprofile state off

wmic shadowcopy delete

netsh firewall set opmode mode=disable

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no

wbadmin delete catalog -quiet

mshta C:\%PUBLIC%\Desktop\info.hta

mshta C:\%USERPROFILE%\Desktop\info.hta

mshta C:\info.hta

Tệp thực thi mã hóa Phobos sinh ra một quy trình cmd.exe, sau đó thực thi các lệnh được liệt kê trong Bảng 2 với các tệp thực thi hệ thống Windows tương ứng của chúng. Khi các lệnh trên được thực thi trên hệ thống Windows, các bản sao shadow copies sẽ bị xóa và Tường lửa Windows sẽ bị tắt. Ngoài ra, chính sách trạng thái khởi động của hệ thống được đặt thành khởi động ngay cả khi có lỗi trong quá trình khởi động và các tùy chọn khôi phục tự động WinRE cũng bị tắt. Tiếp theo danh mục sao lưu của hệ thống bị xóa. Cuối cùng, thông báo đòi tiền chuộc Phobos được hiển thị cho người dùng sử dụng mshta.exe

Bảng 3: Registry Keys được quan sát thấy

Registry Keys

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

C:/Users\Admin\AppData\Local\directory

Bảng 4: Thông tin tham khảo về Phobos

Associated IP Address	File Type	File Name	SHA 256 Hash
194.165.16[.]4 (October 2023)	Win32.exe	Ahpdate.exe	0000599cbc6e5b0633c5a6261c79e4d3d81005c77845c6b0679d854884a8e02f
45.9.74[.]14 (December 2023) 147.78.47[.]224 (December 2023)	Executable and Linkable Format (ELF)	1570442295 (Trojan Linux Mirai)	7451be9b65b956ee667081e1141531514b1ec348e7081b5a9cd1308a98eec8f0
185.202.0[.]111 (September 2023)	Win32.exe	cobaltstrike_shellcode[.]exe (C2 activity)
185.202.0[.]111 (December 2023)	.txt	f1425cff3d28afe5245459afa6d7 985081bc6a62f86dce64c63dae b2136d7d2c.bin (Trojan)

Bảng 4: Hàm băm quan sát được

Phobos Ransomware SHA 256 Malicious Trojan Executable File Hashes

518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c

9215550ce3b164972413a329ab697012e909d543e8ac05d9901095016dd3fc6c

482754d66d01aa3579f007c2b3c3d0591865eb60ba60b9c28c66fe6f4ac53c52

c0539fd02ca0184925a932a9e926c681dc9c81b5de4624250f2dd885ca5c4763

Phobos Ransomware SHA 256 File Hashes

58626a9bfb48cd30acd0d95debcaefd188ae794e1e0072c5bde8adae9bccafa6

f3be35f8b8301e39dd3dffc9325553516a085c12dc15494a5e2fce73c77069ed

518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c

32a674b59c3f9a45efde48368b4de7e0e76c19e06b2f18afb6638d1a080b2eb3

2704e269fb5cf9a02070a0ea07d82dc9d87f2cb95e60cb71d6c6d38b01869f66

fc4b14250db7f66107820ecc56026e6be3e8e0eb2d428719156cf1c53ae139c6

a91491f45b851a07f91ba5a200967921bf796d38677786de51a4a8fe5ddeafd2

GIẢM THIỂU RỦI RO

Bảo mật phần mềm truy cập từ xa
Triển khai các biện pháp kiểm soát ứng dụng để quản lý và kiểm soát việc thực thi phần mềm, bao gồm cả việc đưa các chương trình truy cập từ xa vào danh sách cho phép
Triển khai các phương pháp hay nhất về thu thập nhật ký và sử dụng hệ thống phát hiện xâm nhập để bảo vệ chống lại các tác nhân đe dọa thao túng cấu hình tường lửa thông qua phát hiện sớm. Triển khai các giải pháp EDR để phá vỡ các kỹ thuật phân bổ bộ nhớ của tác nhân đe dọa.
Hạn chế nghiêm ngặt việc sử dụng RDP và các dịch vụ máy tính từ xa khác. Nếu RDP là cần thiết, hãy áp dụng nghiêm ngặt các phương pháp hay nhấtKiểm tra mạng đối với các hệ thống sử dụng RDPĐóng các cổng RDP không sử dụng.Buộc khóa tài khoản sau một số lần thử được chỉ địnhÁp dụng xác thực đa yếu tố chống lừa đảo (MFA)Ghi nhật ký các lần thử đăng nhập RDP
Vô hiệu hóa các hoạt động và quyền của dòng lệnh và tập lệnh
Xem lại các bộ điều khiển miền, máy chủ, máy trạm và các thư mục hoạt động để tìm các thư mục mới và/hoặc tài khoản không được công nhận
Kiểm tra tài khoản người dùng có đặc quyền quản trị và định cấu hình kiểm soát truy cập theo nguyên tắc đặc quyền tối thiểu (PoLP)
Giảm nguy cơ xâm phạm thông tin xác thực thông qua các cách sau:

- Đặt tài khoản quản trị viên tên miền vào nhóm người dùng được bảo vệ để ngăn chặn việc lưu trữ cục bộ các hàm băm mật khẩu.
- Không lưu trữ thông tin xác thực văn bản gốc trong tập lệnh.
- Triển khai quyền truy cập theo thời gian cho các tài khoản ở cấp quản trị viên trở lên

Ngoài ra, cơ quan tác giả của CSA này khuyến nghị các nhà bảo vệ mạng áp dụng các biện pháp giảm thiểu sau đây để hạn chế việc sử dụng các kỹ thuật khám phá mạng và hệ thống chung có hại, đồng thời để giảm tác động và nguy cơ bị xâm phạm bởi phần mềm tống tiền hoặc các tác nhân tống tiền dữ liệu:

Thực hiện kế hoạch khôi phục để duy trì và giữ lại nhiều bản sao của dữ liệu và máy chủ nhạy cảm hoặc độc quyền ở một vị trí vật lý riêng biệt, được phân đoạn và an toàn (ví dụ: ổ cứng, thiết bị lưu trữ hoặc đám mây).
Duy trì sao lưu dữ liệu ngoại tuyến và thường xuyên duy trì sao lưu và phục hồi (hàng ngày hoặc tối thiểu hàng tuần). Bằng cách thiết lập thông lệ này, tổ chức sẽ hạn chế mức độ nghiêm trọng của sự gián đoạn đối với hoạt động kinh doanh của mình
Yêu cầu tất cả các tài khoản đăng nhập bằng mật khẩu (ví dụ: tài khoản dịch vụ, tài khoản quản trị viên và tài khoản quản trị miền) phải tuân thủ các tiêu chuẩn của NIST để phát triển và quản lý các chính sách mật khẩu.
- Sử dụng mật khẩu dài hơn bao gồm ít nhất 15 ký tự và độ dài không quá 64 ký tự
- Lưu trữ mật khẩu ở định dạng băm bằng cách sử dụng trình quản lý mật khẩu được ngành công nhận
- Tránh sử dụng lại mật khẩu
- Thực hiện khóa tài khoản nhiều lần đăng nhập không thành công
- Tắt “gợi ý” mật khẩu.
- Không yêu cầu thay đổi mật khẩu thường xuyên hơn một lần mỗi năm
Yêu cầu thông tin xác thực của quản trị viên để cài đặt phần mềm
Yêu cầu xác thực đa yếu tố chống lừa đảo (MFA) cho tất cả các dịch vụ trong phạm vi có thể, đặc biệt đối với webmail, mạng riêng ảo (VPN) và các tài khoản truy cập các hệ thống quan trọng
Phân đoạn mạng để ngăn chặn sự lây lan của ransomware. Phân đoạn mạng có thể giúp ngăn chặn sự lây lan của phần mềm tống tiền bằng cách kiểm soát luồng lưu lượng truy cập vào các mạng con khác nhau
Xác định, phát hiện và điều tra hoạt động bất thường cũng như khả năng lây lan của phần mềm tống tiền được chỉ định bằng công cụ giám sát mạng. Để hỗ trợ phát hiện phần mềm tống tiền, hãy triển khai một công cụ ghi nhật ký và báo cáo tất cả lưu lượng truy cập và hoạt động mạng, bao gồm cả chuyển động ngang, trên mạng. Các công cụ phát hiện và phản hồi điểm cuối (EDR) đặc biệt hữu ích để phát hiện các kết nối bên vì chúng có cái nhìn sâu sắc về các kết nối mạng phổ biến và không phổ biến cho mỗi máy chủ
Cài đặt, cập nhật thường xuyên và kích hoạt tính năng phát hiện theo thời gian thực cho phần mềm chống vi-rút trên tất cả các thiết bị
Tắt các cổng và giao thức không sử dụng
Hãy cân nhắc việc thêm biểu ngữ email vào các email nhận được từ bên ngoài tổ chức của bạn

Vô hiệu hóa các siêu liên kết trong email đã nhận
Đảm bảo tất cả dữ liệu sao lưu được mã hóa, không thể thay đổi (nghĩa là đảm bảo dữ liệu sao lưu không thể bị thay đổi).