腾讯安全检测到Phorpiex僵尸网络变种持续活跃,可导致勒索病毒攻击、挖矿、或加密货币被盗

2021-05-28 19:08:32
腾讯安全威胁情报中心检测到Phorpiex僵尸网络新变种近期活动频繁,通过网络流量探针数据发现,Phorpiex僵尸网络新变种在今年三月以来有明显上升。该团伙是仅次于Emotet僵尸网络的第二大僵尸网络,据腾讯安全的检测数据,该僵尸网络对我国威胁严重。

一、概述

腾讯安全威胁情报中心检测到Phorpiex僵尸网络新变种近期活动频繁,通过网络流量探针数据发现,Phorpiex僵尸网络新变种在今年三月以来有明显上升。

该僵尸网络危害全球,是存在多年臭名昭著的网络犯罪团伙之一,根据国外安全厂商评估,该团伙是仅次于Emotet僵尸网络的第二大僵尸网络。微软公司称,从202012月到20212月,Phorpiex僵尸网络在160个国家/地区出现。遭遇率最高的国家是墨西哥(8.5%),哈萨克斯坦(7.8%)和乌兹别克斯坦(7.3%)。据腾讯安全的检测数据,该僵尸网络对我国威胁同样严重。


该团伙的作恶记录包括:分发过GandCrab在内的多种勒索病毒;下载挖矿木马利用肉鸡电脑算力挖矿;分发剪贴板大盗木马用于盗窃数字加密货币;群发垃圾邮件实施勒索诈骗等等。该僵尸网络的变种活跃,意味着各种无法预料的网络攻击可能随后便来,腾讯安全专家建议企业用户宜尽早防范。

Phorpiex僵尸网络新变种除保留了其家族的主要特征外,出现一些新变化:

l  删除了感染win32可执行程序的功能,删除了部分版本中的本地web目录exe文件替换功能。

l  启用了新的网络基础设施:IPdomain资源,这些基础设施从3月份后开始活跃。(185.215.113.93feedmefile.topgotsomefile.topgimmefile.top

l  增加了基于Tor网络的基础设施,使僵尸网络的通信更加隐蔽。(7fv5nq57k4qvbrpt.onion

l  增加了处理Tor-onion请求的代理服务器功能。

l  该版本病毒对乌克兰地区进行了双重规避。

该版本保留了Phorpiex僵尸网络木马的主要技术特征:

l  包括其一贯使用窗口函数进行大量无效操作进行代码,行为混淆。

l  保留移动设备的感染功能。

l  保留比特币窃取功能。

  腾讯安全全系列产品已支持检测拦截Phorpiex僵尸网络变种的攻击活动。


二、腾讯安全解决方案

Phorpiex僵尸网络变种相关的威胁数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等安全产品检测防御相关威胁。

腾讯主机安全(云镜)可对病毒攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。


腾讯云防火墙已支持对Phorpiex僵尸网络变种的攻击活动进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。


私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到Phorpiex僵尸网络变种外连C2服务器。


私有云客户可通过旁路部署腾讯天幕(NIPS实时拦截Phorpiex僵尸网络的通信连接,腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

三、分析

该版本病毒会针对乌克兰地域做感染规避,为了保险,病毒使用了两种方式

1.通过访问wipmania进一步获取到病毒被感染者IP地址位置信息,避开UA(指乌克兰)

2.通过GetLocaleInfoA获取本地系统语言信息,避开UKR(同指乌克兰)

以上两种方式均能避开乌克兰地区的病毒感染

同时病毒使用了较新的IP&domain基础设施,并尝试使用标准http请求方式下载,解密,执行,位于4个基础设施内得6个传播载荷,循环每20分钟一次,而当前并未投放实际载荷。

病毒还进一步新增了基于Tor的基础设施(7fv5nq57k4qvbrpt.onion),并自建了Tor代理服务器。病毒会尝试连接,下载,执行托管在onion地址内的恶意载荷,循环每60分钟获取一次。

tor代理服务功能使用到的相关代码API调用,均使用了动态加载获取调用地址的方式,进一步躲避安全软件查杀。


当病毒使用Tor-onion基础设施(7fv5nq57k4qvbrpt.onion)地址时,使用INTERNET_OPEN_TYPE_PROXY方式,PROXY_NAME指向本地127.0.0.1,代理端口为随机。随后病毒在本地对该随机端口进行绑定监听,创建一个有16个线程的IOCP-Tor代理服务器用于处理该端口上接收到的onion地址访问请求。


分析版本变种病毒除投递其它载荷外,同时保留了一些恶意行为功能,例如,虚拟币剪切板替换窃取加密货币交易的功能。


感染移动存储设备


虽然Phorpiex僵尸网络木马当前版本的目的未知,但不排除未来有进一步下发其它恶意病毒的可能,历史上我们曾捕获到Phorpiex的多次投递勒索病毒、挖矿木马和传播剪贴板大盗的行为。每次Phorpiex僵尸网络分发勒索软件,都会带来大批量的企业、个人系统被加密,造成严重损失。

四、威胁视角看威胁行为

ATT&CK阶段

行为

侦察

通过网络环境,本地系统语言环境判断是否为乌克兰做规避

资源开发

注册C2服务器

初始访问

通过被感染的U盘,或通过被感染的软件供应链渠道,或存在弱口令的VNC服务进行传播

执行

部分版本通过Powershell或者Bitsadmin进行恶意载荷的初始下拉执行

持久化

通过注册表run键值进行持久化

防御规避

病毒进程名lsass.exe,试图实现伪装系统进程

发现

部分版本病毒通过随机扫描目标开放5900端口信息以确认后续的VNC服务攻击

影响

僵尸网络后门的长期驻留给服务器带来不可预料的风险,蠕虫功能,门罗币矿机,勒索模块可能随时下发,都会给机器带来不可逆转的损失。

IOCs

Md5:

ee0a1ec859b753abc30847157d81f37c

Ip&Domain&Onion:

185.215.113.93

feedmefile.top

gotsomefile.top

gimmefile.top

7fv5nq57k4qvbrpt.onion

Url:

hxxp://185.215.113.93/tt11

hxxp://185.215.113.93/tt22

hxxp://185.215.113.93/tt33

hxxp://185.215.113.93/tt44

hxxp://185.215.113.93/tt55

hxxp://185.215.113.93/tt66

参考链接:

1.Phorpiex变种:长期僵尸网络如何在当前威胁环境中持续发展

https://www.microsoft.com/security/blog/2021/05/20/phorpiex-morphs-how-a-longstanding-botnet-persists-and-thrives-in-the-current-threat-environment/

2.Phorpiex僵尸网络不甘作渠道,尝试自运营Knot勒索病毒

https://mp.weixin.qq.com/s/nRNFrEPBxIzH3mmwWzn-7Q

3.Phorpiex僵尸网络病毒新增感染可执行文件,同时传播Avaddon勒索病毒

https://mp.weixin.qq.com/s/sRE5CyyEutzs_Z9BDdyGnA

4.Nemty v2.5勒索借Phorpiex僵尸网络传播,可监视剪贴板劫持虚拟币交易

https://mp.weixin.qq.com/s/3kyLkoBd9K-5_VSk5Nnb6A

5.GandCrab 4.3勒索病毒再添新特性:借助Phorpiex蠕虫式主动传播,同时挖矿

https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯