Phorpiex僵尸网络不甘作渠道,尝试自运营Knot勒索病毒

2020-12-17 17:18:59
腾讯安全团队检测到Phorpiex僵尸网络正在推广Knot勒索病毒,Knot勒索病毒将自身加密文件密钥配置存放在Phorpiex僵尸网络的资产上。以往Phorpiex僵尸网络主要作为其它勒索病毒的传播渠道来牟利,而本次投递的Knot勒索病毒从代码相似性和C2服务器的共用性来看,更像Phorpiex僵尸网络团伙直接运营。

一、概述

腾讯安全团队检测到Phorpiex僵尸网络正在推广Knot勒索病毒,Knot勒索病毒将自身加密文件密钥配置存放在Phorpiex僵尸网络的资产45.182.189.251上。以往Phorpiex僵尸网络主要作为其它勒索病毒的传播渠道来牟利,而本次投递的Knot勒索病毒从代码相似性和C2服务器的共用性来看,更像Phorpiex僵尸网络团伙直接运营。推测Phorpiex僵尸网络已不满足于仅仅作为其他勒索病毒的传播渠道牟利,开始直接利用所掌控的僵尸网络资源传播自行开发的勒索病毒来获取更大的利益了。

由于Phorpiex僵尸网络团伙当前使用的关键基础设施hxxp://45.182.189.251/k配置尚未生效,其传播的Knot勒索模块暂还不能实施完整的加密勒索过程,其勒索活动尚在谋划阶段,不排除之后不久将更新配置进行大面积投递。

Phorpiex僵尸网络的传播途径较多,主要有以下几种方式:

1.通过被感染的U盘传播;

2.通过替换web站点下载的文件传播(直接替换该web站目录下的exe文件为病毒);

3.通过被感染的压缩包传播;

4.通过VNC爆破攻击传播;

5.通过感染32PE程序传播。

Phorpiex僵尸网络主要盈利模式包括:

1.投递挖矿木马或窃取虚拟货币的木马牟利;

2.投递勒索诈骗邮件群发病毒敲诈虚拟货币;

3.投递其他黑产团伙的勒索病毒牟利;

4.从当前版本开始尝试运营该团伙自行开发的Knot勒索病毒。

腾讯安全全系列产品已针对Phorpiex僵尸网络传播Knot勒索病毒的新威胁进行响应,具体清单如下:

应用场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1Phorpiex勒索相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1Phorpiex勒索相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生

安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1)Phorpiex勒索网络相关联的IOCs已支持识别检测;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)云镜已支持查杀Phorpiex相关联的恶意模块,勒索模块

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1Phorpiex相关联的IOCs已支持识别检测;

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec

零信任无边界

访问控制系统

 iOA

1Phorpiex僵尸网络传播的恶意程序均可查杀。

零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html

更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/

二、详细分析

tldrnet.topPhorpiex僵尸网络所拥有的网络资产,当前被解析到IP地址45.182.189.251上,被Knot新型勒索病毒用来存放勒索密钥(hxxp://45.182.189.251/k)。


勒索模块感染后在appdata目录创建一个txt作为感染标记,防止重复感染,这也是Phorpiex僵尸网络惯用的一种手法。


通过http://api.wipmania.com/接口查询IP地域信息,对返回结果进行国家判定后规避传播。通过代码可知,该勒索病毒目前攻击的国家有美国、加拿大、英国、澳大利亚、新西兰、中国、韩国、日本、越南。


后续读取45.182.189.251K文件,因当前链接已经失效,故会跳过加密流程。根据其代码逻辑分析,K文件如果获取成功则会将作为RSA密钥导入备用。




随后尝试结束大量数据库进程,主要目的是为之后的数据加密流程做准备


非数据的系统文件夹或常用软件安装相关文件夹会加入白名单过滤:


非数据类型的可执行文件扩展名会加入白名单:


对白名单之外的文件遍历文件进行加密,被加密后文件被添加.encrypted扩展后缀


为防止用户恢复文件,会删除系统卷影信息


病毒会勒索大约700美金的比特币,从勒索信内容可知该病毒名为Knot勒索病毒


查看当前比特币地址发现当前收益为0


三、安全建议

腾讯安全专家建议用户参考以下措施防范勒索病毒入侵传播。

企业用户:

1、尽量关闭不必要的端口,如:445135139等,对33895900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、建议终端用户谨慎下载、点击陌生邮件附件,若非必要,应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。.

8建议全网安装腾讯T-Sec零信任无边界访问控制系统 (iOA
https://s.tencent.com/product/ioa/index.html)。腾讯零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。

个人用户:

1、建议启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码;

2、打开腾讯电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

IOCs

MD5:

f4e20c0849b1a282e0a853418e18ace4

URL:

hxxp://45.182.189.251/k

IP&Domain:

45.182.189.251

tldrnet.top

参考链接:

GandCrab 4.3勒索病毒再添新特性:借助Phorpiex蠕虫式主动传播,同时挖矿》

Nemty v2.5Phorpiex僵尸网络传播,可监视剪贴板劫持虚拟币交易》

《Phorpiex僵尸网络病毒新增感染可执行文件,同时传播Avaddon勒索病毒》

最新资讯