行業(yè)資訊

利用遠(yuǎn)控木(mù)馬傳播的Proton新型勒索分析

緊急程度：★★★★☆

影響平台：Windows

尊敬的用戶：

您好！

近日，亞信安全截獲新型勒索家族Proton，該家族勒索在23年(nián)首次被發現，其最早可追溯到(dào)今年(nián)四月(yuè)份。該勒索通(tōng)過Web服務漏洞将遠(yuǎn)控木(mù)馬上(shàng)傳到(dào)服務器(qì)，然後釋放(fàng)Proton勒索病毒的方式進行傳播；或者通(tōng)過攜帶遠(yuǎn)控木(mù)馬的釣魚郵件(jiàn)誘騙用戶下(xià)載遠(yuǎn)控木(mù)馬進行傳播，一(yī)旦遠(yuǎn)控木(mù)馬被運行，其會(huì)釋放(fàng)Proton勒索病毒，加密系統中的文件(jiàn)，關閉服務、進程以及Windows自(zì)帶的文件(jiàn)修複程序，生(shēng)成勒索信，索要贖金。

亞信安全産品OSCE和DS的最新病毒碼版本可以查殺遠(yuǎn)控木(mù)馬及其釋放(fàng)的Proton勒索病毒，DDEI産品可以有效攔截攜帶有遠(yuǎn)控木(mù)馬的釣魚郵件(jiàn)。

病毒詳細分析

ü  該勒索樣本為(wèi)64位程序，使用UPX4.01進行加殼保護。

ü  為(wèi)了加快加密的速度，該勒索軟件(jiàn)首先清空所有本地磁盤驅動器(qì)中的垃圾站(zhàn)。

ü  将自(zì)身自(zì)拷貝到(dào)如下(xià)自(zì)啓動目錄下(xià)，該目錄下(xià)的文件(jiàn)每次重啓時自(zì)動執行，無需設置注冊表，實現病毒持久化駐留。

C:\Users\86173\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E748D97971AE4A0A.exe

ü  釋放(fàng)并修改默認圖标

Proton中的字符通(tōng)過可逆的對稱加密進行轉換，主要防止靜(jìng)态的字符識别。

先用96減去變量，然後乘以24。解密算(suàn)法中用加127保證為(wèi)正值，第一(yī)次取模保證了數值不會(huì)過大，第二次取模，保證了數值在127的循環群中。

不同的地方作者設置了不同的常數進行字符混淆，但是算(suàn)法沒有改變。對比代碼如下(xià)所示：

釋放(fàng)圖标C:\ProgramData\E748D97971AE4A0A.ico

修改如下(xià)注冊表鍵值，将所有.Proton文件(jiàn)均設置為(wèi)該圖标：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.Proton\DefaultIcon

C:\ProgramData\E748D97971AE4A0A.ico

ü  為(wèi)了盡可能(néng)的加密更多(duō)文件(jiàn)，勒索軟件(jiàn)會(huì)嘗試關閉sqlbrowser、mssql、tomcat、zhudongfangyu等相(xiàng)關服務，以防止關閉進程的時候，被相(xiàng)關驅動所攔截。

ü  為(wèi)了防止進程加密的時候進程被占用，該勒索會(huì)遍曆進程，并關閉相(xiàng)關進程。

ü  該勒索通(tōng)過如下(xià)命令删除卷影副本，從(cóng)而使受害者無法恢複任何已被加密的文件(jiàn)。
vssadmin Delete Shadows /All /Quiet

ü  通(tōng)過如下(xià)命令，禁用Windows 10中的自(zì)動啓動修複功能(néng)和所有啓動故障檢測。

bcdedit /set {default} recoveryenabled No

bcdedit /set {default} bootstatuspolicy ignoreallfailures

ü  讀(dú)取文件(jiàn)并對文件(jiàn)進行加密，并将加密後的文件(jiàn)後綴修改為(wèi).[filesupport@airmail.cc].Proton

ü  解密并釋放(fàng)勒索信：

【Proton勒索信】

加密算(suàn)法分析

該勒索使用了AES進行加密。首先，設置需要使用的算(suàn)法為(wèi)AES，并設置加密屬性為(wèi)BCRYPT_CHAINING_MODE，加密模式為(wèi)BCRYPT_CHAIN_MODE_GCM

使用BCryptGenRandom生(shēng)成随機(jī)數，然後根據預設的複雜(zá)的密鑰生(shēng)成算(suàn)法進行密鑰生(shēng)成。再繼續生(shēng)成一(yī)個(gè)新的随機(jī)數，加密文件(jiàn)的時候，作為(wèi)填充信息使用。

上(shàng)文生(shēng)成中間密鑰後，使用BCryptGenerateSymmetricKey進行最終密鑰的生(shēng)成。然後使用BCryptEncrypt，對信息進行加密，根據返回值來判斷是否加密成功。如果返回值為(wèi)0，加密成功，繼續執行。如果返回值非0，加密失敗，使用ExitProcess退出程序。清空密鑰生(shēng)成空間和密鑰本身，随後進行下(xià)一(yī)輪加密。

亞信安全産品解決方案

ü  亞信安全夢蝶病毒碼可以對文中提及的惡意軟件(jiàn)進行檢測。

ü  亞信安全病毒碼版本18.435.60，雲病毒碼版本18.435.71，全球碼版本18.435.00 可以對文中提及的惡意軟件(jiàn)進行檢測，請用戶及時升級病毒碼版本。

ü  亞信安全DDEI可以有效攔文中提及的釣魚郵件(jiàn)：

安全建議

ü  建議用戶使用強口令;

ü  加強端口管理:

l 關閉不必要的高(gāo)危端口，如必要開(kāi)啓，請設置對應的IP白(bái)名單

l 避免将高(gāo)危端口映射到(dào)公網

ü  不要點擊來源不明的郵件(jiàn)及附件(jiàn)，以及郵件(jiàn)中的鏈接;

ü  打開(kāi)系統自(zì)動更新，并檢測更新進行安裝，打全系統補丁程序;

ü  重要文檔要注意備份，備份的最佳做法是采取 3-2-1 規則，即至少做三個(gè)副本，用兩種不同格式保存，并将副本放(fàng)在異地存儲.

IOCs

aefcc3ad108474656a6e132eb0e13fff5ee0eb8c

a40cc1696458660956cd266576f3559e1fe27ea7

715583438644c9e77cfb1232c62f7ef18ae71b52

07972f35a969ef8f482be8300d61d985f61930c2

45e1a51c4be7f30f5024643818d570d566d8057c

7a3278b2f234941d5cf1e974e0caf8e46539bb6c

137c0dcbcf70b405e1d2952fd9b2882539cdebc9

d9c0360efcd912fe53b5157820faa04c6062b8b2

07fed95218f8d680688a28921ee18fb86dc0d5bd