#Ransomware: Phân tích phần mềm tống tiền Phobos

Lưu ý: Tư vấn chung về An ninh mạng (CSA) này là một phần trong nỗ lực #StopRansomware đang diễn ra nhằm tư vấn dành cho những người quản trị mạng, nêu chi tiết các biến thể ransomware khác nhau và các tác nhân đe dọa #ransomware 

Mar 31, 2024 - 01:52
Mar 31, 2024 - 02:01
 215
#Ransomware: Phân tích phần mềm tống tiền Phobos

Cục Điều tra Liên bang (FBI), quan An ninh mạng sở hạ tầng (CISA) Trung tâm phân tích chia sẻ thông tin liên bang (MS-ISAC) đang phát hành CSA chung này để phổ biến các TTP IOC đã biết liên quan đến Phobos.  Theo báo cáo nguồn mở, các biến thể #ransomware được quan sát gần đây nhất vào tháng 2 năm 2024. Phobos được cấu trúc như một hình ransomware-as-a-service (#RaaS). 

CHI TIẾT KỸ THUẬT 

Tổng quan 

Theo báo cáo mở, #ransomware Phobos thể được kết nối với nhiều biến thể (bao gồm Elking, Eight, Devos, Backmydata Faust ransomware) do các TTP tương tự được phát hiện. Phobos #ransomware hoạt động cùng với nhiều công cụ nguồn mở khác nhau như #Smokeloader, #Cobalt Strike #Bloodhound. Tất cả các công cụ này đều thể truy cập rộng rãi dễ sử dụng trong nhiều môi trường hoạt động khác nhau, khiến ( các biến thể liên quan) trở thành lựa chọn phổ biến của nhiều kẻ tấn công. 

Trinh sát tiếp cận 

Các tác nhân #Phobos thường quyền truy cập ban đầu vào các mạng dễ bị tấn công bằng cách tận dụng các chiến dịch lừa đảo để cài độc hoặc sử dụng các công cụ quét giao thức internet (IP), chẳng hạn như Angry IP Scanner, để tìm kiếm các cổng Remote Desktop Protocol (RDP) dễ bị tấn công hoặc bằng cách tận dụng RDP trên môi trường Microsoft Windows đã biết. 

Sau khi phát hiện ra một dịch vụ RDP bị lộ, kẻ tấn công sẽ sử dụng các công cụ mạnh mẽ để quyền truy cập. Nếu tác nhân Phobos đạt được xác thực RDP thành công sẽ liên kết đến các server để thực hiện tấn công. 

Ngoài ra, các tác nhân đe dọa gửi tệp đính kèm email giả mạo được nhúng với tải trọng ẩn chẳng hạn như SmokeLoader, một trojan cửa sau thường được sử dụng cùng với Phobos. Sau khi tải trọng ẩn của SmokeLoader được tải xuống hệ thống của nạn nhân, các tác nhân đe dọa sẽ sử dụng chức năng của phần mềm độc hại để tải payload Phobos lấy dữ liệu từ hệ thống bị xâm nhập. 

Thực thi nâng cao đặc quyền 

Các tác nhân Phobos chạy các tệp thực thi như 1saas.exe hoặc cmd.exe để triển khai các tải trọng (payload) Phobos bổ sung đã bật đặc quyền nâng cao. Ngoài ra, các tác nhân Phobos thể sử dụng các lệnh trước đó để thực hiện các chức năng  Windows Shell. Các lệnh đó cho phép các tác nhân đe dọa kiểm soát các khía cạnh khác nhau của hệ thống với nhiều cấp độ quyền cần thiết. 

Triển khai Smokeloader 

Trong giai đoạn đầu tiên, Smokeloader thao túng các chức năng API VirtualAlloc hoặc VirtualProtect cho phép chèn vào các tiến trình đang chạy cho phép phần mềm độc hại trốn tránh các công cụ phòng thủ mạng 

Trong giai đoạn thứ hai, một quy trình lén lút được sử dụng để làm xáo trộn hoạt động chỉ huy kiểm soát (C2) bằng cách tạo ra các yêu cầu tới các trang web hợp pháp. Trong giai đoạn này, shellcode cũng gửi lệnh gọi từ điểm vào đến vùng chứa bộ nhớ  chuẩn bị một tệp thực thi di động để triển khaigiai đoạn cuối. 

Cuối cùng, khi Smokeloader đạt đến giai đoạn thứ ba, sẽ giải nén một chu trình xóa chương trình khỏi bộ nhớ được lưu trữ, sau đó được gửi đi để trích xuất từ hàm băm SHA 256 dưới dạng tải trọng. Tiếp theo giải tải trọng (payload) thành công, kẻ đe dọa thể bắt đầu tải xuống phần mềm độc hại bổ sung. 

Khả năngtránh phòng thủ 

Người ta đã quan sát thấy các tác nhân ransomware Phobos vượt qua các giao thức bảo vệ mạng tổ chức bằng cách sửa đổi cấu hình tường lửa hệ thống bằng các lệnh như: netsh firewall set opmode mode=disable. Ngoài ra, các tác nhân Phobos thể tránh bị phát hiện bằng cách sử dụng các công cụ sau: Universal Virus Sniffer, Process Hacker PowerTool 

Nâng cao đặc quyền 

Theo báo cáo, ransomware Phobos sử dụng các lệnh như Exec.exe hoặc bcdedit[.]exe để điều khiển sử dụng các thư mục Windows Startup chạy các khóa đăng như C:/Users\Admin\AppData\Local\directory để duy trì trong môi trường bị xâm nhập. 

Ngoài ra, các tác nhân Phobos đã được quan sát bằng cách sử dụng các hàm tích hợp trong  Windows API để đánh cắp token, bỏ qua các biện pháp kiểm soát truy cập tạo các quy trình mới để nâng cao đặc quyền bằng cách tận dụng quy trình SeDebugPrivilege. Tác nhân Phobos cố gắng xác thực bằng cách sử dụng mật khẩu đã băm được lưu trong bộ nhớ đệm trên máy nạn nhân cho đến khi chúng đạt được quyền truy cập của quản trị viên miền. 

Khám phá truy cập thông tin 

Các tác nhân Phobos sử dụng thêm các công cụ nguồn mở chẳng hạn như Bloodhound Sharphound để liệt thư mục hoạt động. Sử dụng Mimikatz NirSoft, cũng như Remote Desktop Passview để xuất thông tin xác thực ứng dụng của trình duyệt trên máy khách. Hơn nữa, ransomware Phobos thể liệt các thiết bị lưu trữ được kết nối, tiến trình đang chạy, các file user hóa. 

Lọc dữ liệu 

Người ta đã quan sát thấy các tác nhân Phobos sử dụng WinSCP Mega.io để lọc tệp. Chúng sử dụng WinSCP để kết nối trực tiếp từ mạng nạn nhân tới máy chủ FTP. Phobos cài đặt Mega.io sử dụng để xuất trực tiếp các tệp nạn nhân sang nhà cung cấp dịch vụ lưu trữ đám mây. Dữ liệu thường được lưu trữ dưới dạng tệp .rar hoặc .zip sẽ được lọc sau. Chúng nhắm tới các tài liệu pháp , hồ tài chính, tài liệu kỹ thuật (bao gồm cả kiến trúc mạng) sở dữ liệu cho phần mềm quản mật khẩu hay sử dụng. 

Tác động 

Sau giai đoạn lọc, các tác nhân của Phobos sẽ tìm kiếm bản sao lưu. Họ sử dụng vssadmin.exe Windows Management Instrumentation command-line utility (WMIC) để khám phá xóa các bản saođĩa (shadow copies) trong môi trường Windows. Điều này ngăn nạn nhân khôi phục tệp sau khi bị hóa. 

Phobos.exe chứa chức năng hóa tất cả cácđĩa logic được kết nối trên máy chủ đích. Mỗi tệp thực thi ransomware Phobos nhận dạng bản dựng (ID), ID liên kết duy nhất cũng như ghi chú tiền chuộc duy nhất được nhúng trong tệp thực thi. Sau khi thông báo đòi tiền chuộc xuất hiện trên các máy trạm bị nhiễm, phần mềm ransomware Phobos tiếp tục tìm kiếm hóa các tệp bổ sung. 

IOCs - CHỈ SỐ THỎA THUẬN 

Bảng 1: Các tên miền liên kết với độc Phobos 

Tên miền Phobos liên kết 

serverxlogs21[.]xyz 

demstat577d[.]xyz 

adstat477d[.]xyz 

 Bảng 2: Các lệnh sử dụng 

Shell Commands 

vssadmin delete shadows /all /quiet 

netsh advfirewall set currentprofile state off 

wmic shadowcopy delete 

netsh firewall set opmode mode=disable 

bcdedit /set {default} bootstatuspolicy ignoreallfailures 

bcdedit /set {default} recoveryenabled no 

wbadmin delete catalog -quiet 

mshta C:\%PUBLIC%\Desktop\info.hta 

mshta C:\%USERPROFILE%\Desktop\info.hta 

mshta C:\info.hta 

 Tệp thực thi hóa Phobos sinh ra một quy trình cmd.exe, sau đó thực thi các lệnh được liệt trong Bảng 2 với các tệp thực thi hệ thống Windows tương ứng của chúng. Khi các lệnh trên được thực thi trên hệ thống Windows, các bản sao shadow copies sẽ bị xóa Tường lửa Windows sẽ bị tắt. Ngoài ra, chính sách trạng thái khởi động của hệ thống được đặt thành khởi động ngay cả khi lỗi trong quá trình khởi động các tùy chọn khôi phục tự động WinRE cũng bị tắt. Tiếp theo danh mục sao lưu của hệ thống bị xóa. Cuối cùng, thông báo đòi tiền chuộc Phobos được hiển thị cho người dùng s dụng mshta.exe 

Bảng 3: Registry Keys được quan sát thấy 

Registry Keys 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 

C:/Users\Admin\AppData\Local\directory 

 Bảng 4: Thông tin tham khảo về Phobos 

Associated IP Address 

File Type 

File Name 

SHA 256 Hash 

194.165.16[.]4 (October 2023) 

Win32.exe 

Ahpdate.exe 

0000599cbc6e5b0633c5a6261c79e4d3d81005c77845c6b0679d854884a8e02f 

45.9.74[.]14 (December 2023) 147.78.47[.]224 (December 2023) 

Executable and Linkable Format (ELF) 

1570442295 (Trojan Linux Mirai) 

7451be9b65b956ee667081e1141531514b1ec348e7081b5a9cd1308a98eec8f0 

185.202.0[.]111 (September 2023) 

Win32.exe 

cobaltstrike_shellcode[.]exe (C2 activity) 

 

185.202.0[.]111 (December 2023) 

.txt 

f1425cff3d28afe5245459afa6d7 985081bc6a62f86dce64c63dae b2136d7d2c.bin (Trojan) 

 

 Bảng 4: Hàm băm quan sát được 

Phobos Ransomware SHA 256 Malicious Trojan Executable File Hashes 

518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c 

9215550ce3b164972413a329ab697012e909d543e8ac05d9901095016dd3fc6c 

482754d66d01aa3579f007c2b3c3d0591865eb60ba60b9c28c66fe6f4ac53c52 

c0539fd02ca0184925a932a9e926c681dc9c81b5de4624250f2dd885ca5c4763 

 

Phobos Ransomware SHA 256 File Hashes 

58626a9bfb48cd30acd0d95debcaefd188ae794e1e0072c5bde8adae9bccafa6 

f3be35f8b8301e39dd3dffc9325553516a085c12dc15494a5e2fce73c77069ed 

518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c 

32a674b59c3f9a45efde48368b4de7e0e76c19e06b2f18afb6638d1a080b2eb3 

2704e269fb5cf9a02070a0ea07d82dc9d87f2cb95e60cb71d6c6d38b01869f66 

fc4b14250db7f66107820ecc56026e6be3e8e0eb2d428719156cf1c53ae139c6 

a91491f45b851a07f91ba5a200967921bf796d38677786de51a4a8fe5ddeafd2 

GIẢM THIỂU RỦI RO 

  • Bảo mật phần mềm truy cập từ xa 

  • Triển khai các biện pháp kiểm soát ứng dụng để quản kiểm soát việc thực thi phần mềm, bao gồm cả việc đưa các chương trình truy cập từ xa vào danh sách cho phép  

  • Triển khai các phương pháp hay nhất về thu thập nhật sử dụng hệ thống phát hiện xâm nhập để bảo vệ chống lại các tác nhân đe dọa thao túng cấu hình tường lửa thông qua phát hiện sớm. Triển khai các giải pháp EDR để phá vỡ các kỹ thuật phân bổ bộ nhớ của tác nhân đe dọa. 

  • Hạn chế nghiêm ngặt việc sử dụng RDP các dịch vụ máy tính từ xa khác. Nếu RDP cần thiết, hãy áp dụng nghiêm ngặt các phương pháp hay nhấtKiểm tra mạng đối với các hệ thống sử dụng RDPĐóng các cổng RDP không sử dụng.Buộc khóa tài khoản sau một số lần thử được chỉ địnhÁp dụng xác thực đa yếu tố chống lừa đảo (MFA)Ghi nhật các lần thử đăng nhập RDP  

  • hiệu hóa các hoạt động quyền của dòng lệnh tập lệnh 

  • Xem lại các bộ điều khiển miền, máy chủ, máy trạm các thư mục hoạt động để tìm các thư mục mới /hoặc tài khoản không được công nhận 

  • Kiểm tra tài khoản người dùng đặc quyền quản trị định cấu hình kiểm soát truy cập theo nguyên tắc đặc quyền tối thiểu (PoLP) 

  • Giảm nguy xâm phạm thông tin xác thực thông qua các cách sau: 

    • Đặt tài khoản quản trị viên tên miền vào nhóm người dùng được bảo vệ để ngăn chặn việc lưu trữ cục bộ các hàm băm mật khẩu. 

    • Không lưu trữ thông tin xác thực văn bản gốc trong tập lệnh. 

    • Triển khai quyền truy cập theo thời gian cho các tài khoảncấp quản trị viên trở lên 

Ngoài ra, quan tác giả của CSA này khuyến nghị các nhà bảo vệ mạng áp dụng các biện pháp giảm thiểu sau đây để hạn chế việc sử dụng các kỹ thuật khám phá mạng hệ thống chung hại, đồng thời để giảm tác động nguy bị xâm phạm bởi phần mềm tống tiền hoặc các tác nhân tống tiền dữ liệu: 

  • Thực hiện kế hoạch khôi phục để duy trì giữ lại nhiều bản sao của dữ liệu máy chủ nhạy cảm hoặc độc quyềnmột vị trí vật riêng biệt, được phân đoạn an toàn ( dụ: ổ cứng, thiết bị lưu trữ hoặc đám mây). 

  • Duy trì sao lưu dữ liệu ngoại tuyến thường xuyên duy trì sao lưu phục hồi (hàng ngày hoặc tối thiểu hàng tuần). Bằng cách thiết lập thông lệ này, tổ chức sẽ hạn chế mức độ nghiêm trọng của sự gián đoạn đối với hoạt động kinh doanh của mình 

  • Yêu cầu tất cả các tài khoản đăng nhập bằng mật khẩu ( dụ: tài khoản dịch vụ, tài khoản quản trị viên tài khoản quản trị miền) phải tuân thủ các tiêu chuẩn của NIST để phát triển quản các chính sách mật khẩu. 

    • Sử dụng mật khẩu dài hơn bao gồm ít nhất 15 tự độ dài không quá 64 tự 

    • Lưu trữ mật khẩuđịnh dạng băm bằng cách sử dụng trình quản mật khẩu được ngành công nhận 

    • Tránh sử dụng lại mật khẩu 

    • Thực hiện khóa tài khoản nhiều lần đăng nhập không thành công 

    • Tắtgợi ý” mật khẩu. 

    • Không yêu cầu thay đổi mật khẩu thường xuyên hơn một lần mỗi năm 

  • Yêu cầu thông tin xác thực của quản trị viên để cài đặt phần mềm 

  • Yêu cầu xác thực đa yếu tố chống lừa đảo (MFA) cho tất cả các dịch vụ trong phạm vi thể, đặc biệt đối với webmail, mạng riêng ảo (VPN) các tài khoản truy cập các hệ thống quan trọng 

  • Phân đoạn mạng để ngăn chặn sự lây lan của ransomware. Phân đoạn mạng thể giúp ngăn chặn sự lây lan của phần mềm tống tiền bằng cách kiểm soát luồng lưu lượng truy cập vào các mạng con khác nhau

  • Xác định, phát hiện điều tra hoạt động bất thường cũng như khả năng lây lan của phần mềm tống tiền được chỉ định bằng công cụ giám sát mạng. Để hỗ trợ phát hiện phần mềm tống tiền, hãy triển khai một công cụ ghi nhật báo cáo tất cả lưu lượng truy cập hoạt động mạng, bao gồm cả chuyển động ngang, trên mạng. Các công cụ phát hiện phản hồi điểm cuối (EDR) đặc biệt hữu ích để phát hiện các kết nối bên chúng cái nhìn sâu sắc về các kết nối mạng phổ biến không phổ biến cho mỗi máy chủ 

  • Cài đặt, cập nhật thường xuyên kích hoạt tính năng phát hiện theo thời gian thực cho phần mềm chống vi-rút trên tất cả các thiết bị  

  • Tắt các cổng giao thức không sử dụng 

  • Hãy cân nhắc việc thêm biểu ngữ email vào các email nhận được từ bên ngoài tổ chức của bạn 

  • hiệu hóa các siêu liên kết trong email đã nhận 

  • Đảm bảo tất cả dữ liệu sao lưu được hóa, không thể thay đổi (nghĩa đảm bảo dữ liệu sao lưu không thể bị thay đổi). 

Tham khảo: https://www.cisa.gov

Tài liệu PDF

Download Files

Cảm xúc của bạn?

like

dislike

love

funny

angry

sad

wow