利用遠(yuǎn)控木馬傳播的Proton新型勒索分析

緊急程度：★★★★☆

影響平臺：Windows

尊敬的用戶：

您好！

近日，亞信安全截獲新型勒索家族Proton，該家族勒索在23年首次被發(fā)現(xiàn)，其最早可追溯到今年四月份。該勒索通過Web服務(wù)漏洞將遠(yuǎn)控木馬上傳到服務(wù)器，然后釋放Proton勒索病毒的方式進(jìn)行傳播；或者通過攜帶遠(yuǎn)控木馬的釣魚郵件誘騙用戶下載遠(yuǎn)控木馬進(jìn)行傳播，一旦遠(yuǎn)控木馬被運(yùn)行，其會釋放Proton勒索病毒，加密系統(tǒng)中的文件，關(guān)閉服務(wù)、進(jìn)程以及Windows自帶的文件修復(fù)程序，生成勒索信，索要贖金。

亞信安全產(chǎn)品OSCE和DS的最新病毒碼版本可以查殺遠(yuǎn)控木馬及其釋放的Proton勒索病毒，DDEI產(chǎn)品可以有效攔截?cái)y帶有遠(yuǎn)控木馬的釣魚郵件。

病毒詳細(xì)分析

ü  該勒索樣本為64位程序，使用UPX4.01進(jìn)行加殼保護(hù)。

ü  為了加快加密的速度，該勒索軟件首先清空所有本地磁盤驅(qū)動器中的垃圾站。

ü  將自身自拷貝到如下自啟動目錄下，該目錄下的文件每次重啟時自動執(zhí)行，無需設(shè)置注冊表，實(shí)現(xiàn)病毒持久化駐留。

C:\Users\86173\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E748D97971AE4A0A.exe

ü  釋放并修改默認(rèn)圖標(biāo)

Proton中的字符通過可逆的對稱加密進(jìn)行轉(zhuǎn)換，主要防止靜態(tài)的字符識別。

先用96減去變量，然后乘以24。解密算法中用加127保證為正值，第一次取模保證了數(shù)值不會過大，第二次取模，保證了數(shù)值在127的循環(huán)群中。

不同的地方作者設(shè)置了不同的常數(shù)進(jìn)行字符混淆，但是算法沒有改變。對比代碼如下所示：

釋放圖標(biāo)C:\ProgramData\E748D97971AE4A0A.ico

修改如下注冊表鍵值，將所有.Proton文件均設(shè)置為該圖標(biāo)：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.Proton\DefaultIcon

C:\ProgramData\E748D97971AE4A0A.ico

ü  為了盡可能的加密更多文件，勒索軟件會嘗試關(guān)閉sqlbrowser、mssql、tomcat、zhudongfangyu等相關(guān)服務(wù)，以防止關(guān)閉進(jìn)程的時候，被相關(guān)驅(qū)動所攔截。

ü  為了防止進(jìn)程加密的時候進(jìn)程被占用，該勒索會遍歷進(jìn)程，并關(guān)閉相關(guān)進(jìn)程。

ü  該勒索通過如下命令刪除卷影副本，從而使受害者無法恢復(fù)任何已被加密的文件。
vssadmin Delete Shadows /All /Quiet

ü  通過如下命令，禁用Windows 10中的自動啟動修復(fù)功能和所有啟動故障檢測。

bcdedit /set {default} recoveryenabled No

bcdedit /set {default} bootstatuspolicy ignoreallfailures

ü  讀取文件并對文件進(jìn)行加密，并將加密后的文件后綴修改為.[filesupport@airmail.cc].Proton

ü  解密并釋放勒索信：

【Proton勒索信】

加密算法分析

該勒索使用了AES進(jìn)行加密。首先，設(shè)置需要使用的算法為AES，并設(shè)置加密屬性為BCRYPT_CHAINING_MODE，加密模式為BCRYPT_CHAIN_MODE_GCM

使用BCryptGenRandom生成隨機(jī)數(shù)，然后根據(jù)預(yù)設(shè)的復(fù)雜的密鑰生成算法進(jìn)行密鑰生成。再繼續(xù)生成一個新的隨機(jī)數(shù)，加密文件的時候，作為填充信息使用。

上文生成中間密鑰后，使用BCryptGenerateSymmetricKey進(jìn)行最終密鑰的生成。然后使用BCryptEncrypt，對信息進(jìn)行加密，根據(jù)返回值來判斷是否加密成功。如果返回值為0，加密成功，繼續(xù)執(zhí)行。如果返回值非0，加密失敗，使用ExitProcess退出程序。清空密鑰生成空間和密鑰本身，隨后進(jìn)行下一輪加密。

亞信安全產(chǎn)品解決方案

ü  亞信安全夢蝶病毒碼可以對文中提及的惡意軟件進(jìn)行檢測。

ü  亞信安全病毒碼版本18.435.60，云病毒碼版本18.435.71，全球碼版本18.435.00 可以對文中提及的惡意軟件進(jìn)行檢測，請用戶及時升級病毒碼版本。

ü  亞信安全DDEI可以有效攔文中提及的釣魚郵件：

安全建議

ü  建議用戶使用強(qiáng)口令;

ü  加強(qiáng)端口管理:

l 關(guān)閉不必要的高危端口，如必要開啟，請?jiān)O(shè)置對應(yīng)的IP白名單

l 避免將高危端口映射到公網(wǎng)

ü  不要點(diǎn)擊來源不明的郵件及附件，以及郵件中的鏈接;

ü  打開系統(tǒng)自動更新，并檢測更新進(jìn)行安裝，打全系統(tǒng)補(bǔ)丁程序;

ü  重要文檔要注意備份，備份的最佳做法是采取 3-2-1 規(guī)則，即至少做三個副本，用兩種不同格式保存，并將副本放在異地存儲.

IOCs

aefcc3ad108474656a6e132eb0e13fff5ee0eb8c

a40cc1696458660956cd266576f3559e1fe27ea7

715583438644c9e77cfb1232c62f7ef18ae71b52

07972f35a969ef8f482be8300d61d985f61930c2

45e1a51c4be7f30f5024643818d570d566d8057c

7a3278b2f234941d5cf1e974e0caf8e46539bb6c

137c0dcbcf70b405e1d2952fd9b2882539cdebc9

d9c0360efcd912fe53b5157820faa04c6062b8b2

07fed95218f8d680688a28921ee18fb86dc0d5bd