![[Tool] Sử dụng AsvScan để giảm thiểu các cuộc tấn công mạng khi có IOCs](https://quantribaomat.com/uploads/images/202406/image_430x256_667e3a37b171f.webp)
.jpg)
#Ransomware: Phân tích phần mềm tống tiền Phobos
Lưu ý: Tư vấn chung về An ninh mạng (CSA) này là một phần trong nỗ lực #StopRansomware đang diễn ra nhằm tư vấn dành cho những người quản trị mạng, nêu chi tiết các biến thể ransomware khác nhau và các tác nhân đe dọa #ransomware
Cục Điều tra Liên bang (FBI), Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Trung tâm phân tích chia sẻ thông tin liên bang (MS-ISAC) đang phát hành CSA chung này để phổ biến các TTP và IOC đã biết có liên quan đến Phobos. Theo báo cáo nguồn mở, các biến thể #ransomware được quan sát gần đây nhất là vào tháng 2 năm 2024. Phobos được cấu trúc như một mô hình ransomware-as-a-service (#RaaS).
CHI TIẾT KỸ THUẬT
Tổng quan
Theo báo cáo mở, #ransomware Phobos có thể được kết nối với nhiều biến thể (bao gồm Elking, Eight, Devos, Backmydata và Faust ransomware) do các TTP tương tự được phát hiện. Phobos #ransomware hoạt động cùng với nhiều công cụ nguồn mở khác nhau như #Smokeloader, #Cobalt Strike và #Bloodhound. Tất cả các công cụ này đều có thể truy cập rộng rãi và dễ sử dụng trong nhiều môi trường hoạt động khác nhau, khiến nó (và các biến thể liên quan) trở thành lựa chọn phổ biến của nhiều kẻ tấn công.
Trinh sát và tiếp cận
Các tác nhân #Phobos thường có quyền truy cập ban đầu vào các mạng dễ bị tấn công bằng cách tận dụng các chiến dịch lừa đảo để cài mã độc hoặc sử dụng các công cụ quét giao thức internet (IP), chẳng hạn như Angry IP Scanner, để tìm kiếm các cổng Remote Desktop Protocol (RDP) dễ bị tấn công hoặc bằng cách tận dụng RDP trên môi trường Microsoft Windows đã biết.
Sau khi phát hiện ra một dịch vụ RDP bị lộ, kẻ tấn công sẽ sử dụng các công cụ mạnh mẽ để có quyền truy cập. Nếu tác nhân Phobos đạt được xác thực RDP thành công nó sẽ liên kết đến các server để thực hiện tấn công.
Ngoài ra, các tác nhân đe dọa gửi tệp đính kèm email giả mạo được nhúng với tải trọng ẩn chẳng hạn như SmokeLoader, một trojan cửa sau thường được sử dụng cùng với Phobos. Sau khi tải trọng ẩn của SmokeLoader được tải xuống hệ thống của nạn nhân, các tác nhân đe dọa sẽ sử dụng chức năng của phần mềm độc hại để tải payload Phobos và lấy dữ liệu từ hệ thống bị xâm nhập.
Thực thi và nâng cao đặc quyền
Các tác nhân Phobos chạy các tệp thực thi như 1saas.exe hoặc cmd.exe để triển khai các tải trọng (payload) Phobos bổ sung đã bật đặc quyền nâng cao. Ngoài ra, các tác nhân Phobos có thể sử dụng các lệnh trước đó để thực hiện các chức năng Windows Shell. Các lệnh đó cho phép các tác nhân đe dọa kiểm soát các khía cạnh khác nhau của hệ thống với nhiều cấp độ quyền cần thiết.
Triển khai Smokeloader
Trong giai đoạn đầu tiên, Smokeloader thao túng các chức năng API VirtualAlloc hoặc VirtualProtect cho phép chèn mã vào các tiến trình đang chạy và cho phép phần mềm độc hại trốn tránh các công cụ phòng thủ mạng.
Trong giai đoạn thứ hai, một quy trình lén lút được sử dụng để làm xáo trộn hoạt động chỉ huy và kiểm soát (C2) bằng cách tạo ra các yêu cầu tới các trang web hợp pháp. Trong giai đoạn này, shellcode cũng gửi lệnh gọi từ điểm vào đến vùng chứa bộ nhớ và chuẩn bị một tệp thực thi di động để triển khai ở giai đoạn cuối.
Cuối cùng, khi Smokeloader đạt đến giai đoạn thứ ba, nó sẽ giải nén một chu trình xóa chương trình khỏi bộ nhớ được lưu trữ, sau đó được gửi đi để trích xuất từ hàm băm SHA 256 dưới dạng tải trọng. Tiếp theo giải mã tải trọng (payload) thành công, kẻ đe dọa có thể bắt đầu tải xuống phần mềm độc hại bổ sung.
Khả năng né tránh phòng thủ
Người ta đã quan sát thấy các tác nhân ransomware Phobos vượt qua các giao thức bảo vệ mạng tổ chức bằng cách sửa đổi cấu hình tường lửa hệ thống bằng các lệnh như: netsh firewall set opmode mode=disable. Ngoài ra, các tác nhân Phobos có thể tránh bị phát hiện bằng cách sử dụng các công cụ sau: Universal Virus Sniffer, Process Hacker và PowerTool
Nâng cao đặc quyền
Theo báo cáo, ransomware Phobos sử dụng các lệnh như Exec.exe hoặc bcdedit[.]exe để điều khiển và sử dụng các thư mục Windows Startup và chạy các khóa đăng ký như C:/Users\Admin\AppData\Local\directory để duy trì trong môi trường bị xâm nhập.
Ngoài ra, các tác nhân Phobos đã được quan sát bằng cách sử dụng các hàm tích hợp trong Windows API để đánh cắp token, bỏ qua các biện pháp kiểm soát truy cập và tạo các quy trình mới để nâng cao đặc quyền bằng cách tận dụng quy trình SeDebugPrivilege. Tác nhân Phobos cố gắng xác thực bằng cách sử dụng mật khẩu đã băm được lưu trong bộ nhớ đệm trên máy nạn nhân cho đến khi chúng đạt được quyền truy cập của quản trị viên miền.
Khám phá và truy cập thông tin
Các tác nhân Phobos sử dụng thêm các công cụ nguồn mở chẳng hạn như Bloodhound và Sharphound để liệt kê thư mục hoạt động. Sử dụng Mimikatz và NirSoft, cũng như Remote Desktop Passview để xuất thông tin xác thực ứng dụng của trình duyệt trên máy khách. Hơn nữa, ransomware Phobos có thể liệt kê các thiết bị lưu trữ được kết nối, tiến trình đang chạy, và các file mà user mã hóa.
Lọc dữ liệu
Người ta đã quan sát thấy các tác nhân Phobos sử dụng WinSCP và Mega.io để lọc tệp. Chúng sử dụng WinSCP để kết nối trực tiếp từ mạng nạn nhân tới máy chủ FTP. Phobos cài đặt Mega.io và sử dụng nó để xuất trực tiếp các tệp nạn nhân sang nhà cung cấp dịch vụ lưu trữ đám mây. Dữ liệu thường được lưu trữ dưới dạng tệp .rar hoặc .zip sẽ được lọc sau. Chúng nhắm tới các tài liệu pháp lý, hồ sơ tài chính, tài liệu kỹ thuật (bao gồm cả kiến trúc mạng) và cơ sở dữ liệu cho phần mềm quản lý mật khẩu hay sử dụng.
Tác động
Sau giai đoạn lọc, các tác nhân của Phobos sẽ tìm kiếm bản sao lưu. Họ sử dụng vssadmin.exe và Windows Management Instrumentation command-line utility (WMIC) để khám phá và xóa các bản sao ổ đĩa (shadow copies) trong môi trường Windows. Điều này ngăn nạn nhân khôi phục tệp sau khi bị mã hóa.
Phobos.exe chứa chức năng mã hóa tất cả các ổ đĩa logic được kết nối trên máy chủ đích. Mỗi tệp thực thi ransomware Phobos có mã nhận dạng bản dựng (ID), ID liên kết duy nhất cũng như ghi chú tiền chuộc duy nhất được nhúng trong tệp thực thi. Sau khi thông báo đòi tiền chuộc xuất hiện trên các máy trạm bị nhiễm, phần mềm ransomware Phobos tiếp tục tìm kiếm và mã hóa các tệp bổ sung.
IOCs - CHỈ SỐ THỎA THUẬN
Bảng 1: Các tên miền liên kết với mã độc Phobos
|
Tên miền Phobos liên kết |
|
serverxlogs21[.]xyz |
|
demstat577d[.]xyz |
|
adstat477d[.]xyz |
Bảng 2: Các lệnh sử dụng
|
Shell Commands |
|
vssadmin delete shadows /all /quiet |
|
netsh advfirewall set currentprofile state off |
|
wmic shadowcopy delete |
|
netsh firewall set opmode mode=disable |
|
bcdedit /set {default} bootstatuspolicy ignoreallfailures |
|
bcdedit /set {default} recoveryenabled no |
|
wbadmin delete catalog -quiet |
|
mshta C:\%PUBLIC%\Desktop\info.hta |
|
mshta C:\%USERPROFILE%\Desktop\info.hta |
|
mshta C:\info.hta |
Tệp thực thi mã hóa Phobos sinh ra một quy trình cmd.exe, sau đó thực thi các lệnh được liệt kê trong Bảng 2 với các tệp thực thi hệ thống Windows tương ứng của chúng. Khi các lệnh trên được thực thi trên hệ thống Windows, các bản sao shadow copies sẽ bị xóa và Tường lửa Windows sẽ bị tắt. Ngoài ra, chính sách trạng thái khởi động của hệ thống được đặt thành khởi động ngay cả khi có lỗi trong quá trình khởi động và các tùy chọn khôi phục tự động WinRE cũng bị tắt. Tiếp theo danh mục sao lưu của hệ thống bị xóa. Cuối cùng, thông báo đòi tiền chuộc Phobos được hiển thị cho người dùng sử dụng mshta.exe
Bảng 3: Registry Keys được quan sát thấy
|
Registry Keys |
|
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ |
|
C:/Users\Admin\AppData\Local\directory |
Bảng 4: Thông tin tham khảo về Phobos
|
Associated IP Address |
File Type |
File Name |
SHA 256 Hash |
|
194.165.16[.]4 (October 2023) |
Win32.exe |
Ahpdate.exe |
0000599cbc6e5b0633c5a6261c79e4d3d81005c77845c6b0679d854884a8e02f |
|
45.9.74[.]14 (December 2023) 147.78.47[.]224 (December 2023) |
Executable and Linkable Format (ELF) |
1570442295 (Trojan Linux Mirai) |
7451be9b65b956ee667081e1141531514b1ec348e7081b5a9cd1308a98eec8f0 |
|
185.202.0[.]111 (September 2023) |
Win32.exe |
cobaltstrike_shellcode[.]exe (C2 activity) |
|
|
185.202.0[.]111 (December 2023) |
.txt |
f1425cff3d28afe5245459afa6d7 985081bc6a62f86dce64c63dae b2136d7d2c.bin (Trojan) |
|
Bảng 4: Hàm băm quan sát được
|
Phobos Ransomware SHA 256 Malicious Trojan Executable File Hashes |
|
518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c |
|
9215550ce3b164972413a329ab697012e909d543e8ac05d9901095016dd3fc6c |
|
482754d66d01aa3579f007c2b3c3d0591865eb60ba60b9c28c66fe6f4ac53c52 |
|
c0539fd02ca0184925a932a9e926c681dc9c81b5de4624250f2dd885ca5c4763 |
|
Phobos Ransomware SHA 256 File Hashes |
|
58626a9bfb48cd30acd0d95debcaefd188ae794e1e0072c5bde8adae9bccafa6 |
|
f3be35f8b8301e39dd3dffc9325553516a085c12dc15494a5e2fce73c77069ed |
|
518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c |
|
32a674b59c3f9a45efde48368b4de7e0e76c19e06b2f18afb6638d1a080b2eb3 |
|
2704e269fb5cf9a02070a0ea07d82dc9d87f2cb95e60cb71d6c6d38b01869f66 |
|
fc4b14250db7f66107820ecc56026e6be3e8e0eb2d428719156cf1c53ae139c6 |
|
a91491f45b851a07f91ba5a200967921bf796d38677786de51a4a8fe5ddeafd2 |
GIẢM THIỂU RỦI RO
-
Bảo mật phần mềm truy cập từ xa
-
Triển khai các biện pháp kiểm soát ứng dụng để quản lý và kiểm soát việc thực thi phần mềm, bao gồm cả việc đưa các chương trình truy cập từ xa vào danh sách cho phép
-
Triển khai các phương pháp hay nhất về thu thập nhật ký và sử dụng hệ thống phát hiện xâm nhập để bảo vệ chống lại các tác nhân đe dọa thao túng cấu hình tường lửa thông qua phát hiện sớm. Triển khai các giải pháp EDR để phá vỡ các kỹ thuật phân bổ bộ nhớ của tác nhân đe dọa.
-
Hạn chế nghiêm ngặt việc sử dụng RDP và các dịch vụ máy tính từ xa khác. Nếu RDP là cần thiết, hãy áp dụng nghiêm ngặt các phương pháp hay nhấtKiểm tra mạng đối với các hệ thống sử dụng RDPĐóng các cổng RDP không sử dụng.Buộc khóa tài khoản sau một số lần thử được chỉ địnhÁp dụng xác thực đa yếu tố chống lừa đảo (MFA)Ghi nhật ký các lần thử đăng nhập RDP
-
Vô hiệu hóa các hoạt động và quyền của dòng lệnh và tập lệnh
-
Xem lại các bộ điều khiển miền, máy chủ, máy trạm và các thư mục hoạt động để tìm các thư mục mới và/hoặc tài khoản không được công nhận
-
Kiểm tra tài khoản người dùng có đặc quyền quản trị và định cấu hình kiểm soát truy cập theo nguyên tắc đặc quyền tối thiểu (PoLP)
-
Giảm nguy cơ xâm phạm thông tin xác thực thông qua các cách sau:
-
-
Đặt tài khoản quản trị viên tên miền vào nhóm người dùng được bảo vệ để ngăn chặn việc lưu trữ cục bộ các hàm băm mật khẩu.
-
Không lưu trữ thông tin xác thực văn bản gốc trong tập lệnh.
-
Triển khai quyền truy cập theo thời gian cho các tài khoản ở cấp quản trị viên trở lên
-
Ngoài ra, cơ quan tác giả của CSA này khuyến nghị các nhà bảo vệ mạng áp dụng các biện pháp giảm thiểu sau đây để hạn chế việc sử dụng các kỹ thuật khám phá mạng và hệ thống chung có hại, đồng thời để giảm tác động và nguy cơ bị xâm phạm bởi phần mềm tống tiền hoặc các tác nhân tống tiền dữ liệu:
-
Thực hiện kế hoạch khôi phục để duy trì và giữ lại nhiều bản sao của dữ liệu và máy chủ nhạy cảm hoặc độc quyền ở một vị trí vật lý riêng biệt, được phân đoạn và an toàn (ví dụ: ổ cứng, thiết bị lưu trữ hoặc đám mây).
-
Duy trì sao lưu dữ liệu ngoại tuyến và thường xuyên duy trì sao lưu và phục hồi (hàng ngày hoặc tối thiểu hàng tuần). Bằng cách thiết lập thông lệ này, tổ chức sẽ hạn chế mức độ nghiêm trọng của sự gián đoạn đối với hoạt động kinh doanh của mình
-
Yêu cầu tất cả các tài khoản đăng nhập bằng mật khẩu (ví dụ: tài khoản dịch vụ, tài khoản quản trị viên và tài khoản quản trị miền) phải tuân thủ các tiêu chuẩn của NIST để phát triển và quản lý các chính sách mật khẩu.
-
Sử dụng mật khẩu dài hơn bao gồm ít nhất 15 ký tự và độ dài không quá 64 ký tự
-
Lưu trữ mật khẩu ở định dạng băm bằng cách sử dụng trình quản lý mật khẩu được ngành công nhận
-
Tránh sử dụng lại mật khẩu
-
Thực hiện khóa tài khoản nhiều lần đăng nhập không thành công
-
Tắt “gợi ý” mật khẩu.
-
Không yêu cầu thay đổi mật khẩu thường xuyên hơn một lần mỗi năm
-
-
Yêu cầu thông tin xác thực của quản trị viên để cài đặt phần mềm
-
Yêu cầu xác thực đa yếu tố chống lừa đảo (MFA) cho tất cả các dịch vụ trong phạm vi có thể, đặc biệt đối với webmail, mạng riêng ảo (VPN) và các tài khoản truy cập các hệ thống quan trọng
-
Phân đoạn mạng để ngăn chặn sự lây lan của ransomware. Phân đoạn mạng có thể giúp ngăn chặn sự lây lan của phần mềm tống tiền bằng cách kiểm soát luồng lưu lượng truy cập vào các mạng con khác nhau
-
Xác định, phát hiện và điều tra hoạt động bất thường cũng như khả năng lây lan của phần mềm tống tiền được chỉ định bằng công cụ giám sát mạng. Để hỗ trợ phát hiện phần mềm tống tiền, hãy triển khai một công cụ ghi nhật ký và báo cáo tất cả lưu lượng truy cập và hoạt động mạng, bao gồm cả chuyển động ngang, trên mạng. Các công cụ phát hiện và phản hồi điểm cuối (EDR) đặc biệt hữu ích để phát hiện các kết nối bên vì chúng có cái nhìn sâu sắc về các kết nối mạng phổ biến và không phổ biến cho mỗi máy chủ
-
Cài đặt, cập nhật thường xuyên và kích hoạt tính năng phát hiện theo thời gian thực cho phần mềm chống vi-rút trên tất cả các thiết bị
-
Tắt các cổng và giao thức không sử dụng
-
Hãy cân nhắc việc thêm biểu ngữ email vào các email nhận được từ bên ngoài tổ chức của bạn
-
Vô hiệu hóa các siêu liên kết trong email đã nhận
-
Đảm bảo tất cả dữ liệu sao lưu được mã hóa, không thể thay đổi (nghĩa là đảm bảo dữ liệu sao lưu không thể bị thay đổi).
Tham khảo: https://www.cisa.gov
Tài liệu PDF
Download Files
Cảm xúc của bạn?
