腾讯安全检测到Phorpiex僵尸网络变种持续活跃，可导致勒索病毒攻击、挖矿、或加密货币被盗

一、概述

腾讯安全威胁情报中心检测到Phorpiex僵尸网络新变种近期活动频繁，通过网络流量探针数据发现，Phorpiex僵尸网络新变种在今年三月以来有明显上升。

该僵尸网络危害全球，是存在多年臭名昭著的网络犯罪团伙之一，根据国外安全厂商评估，该团伙是仅次于Emotet僵尸网络的第二大僵尸网络。微软公司称，从2020年12月到2021年2月，Phorpiex僵尸网络在160个国家/地区出现。遭遇率最高的国家是墨西哥（8.5％），哈萨克斯坦（7.8％）和乌兹别克斯坦（7.3％）。据腾讯安全的检测数据，该僵尸网络对我国威胁同样严重。

该团伙的作恶记录包括：分发过GandCrab在内的多种勒索病毒；下载挖矿木马利用肉鸡电脑算力挖矿；分发剪贴板大盗木马用于盗窃数字加密货币；群发垃圾邮件实施勒索诈骗等等。该僵尸网络的变种活跃，意味着各种无法预料的网络攻击可能随后便来，腾讯安全专家建议企业用户宜尽早防范。

Phorpiex僵尸网络新变种除保留了其家族的主要特征外，出现一些新变化：

l  删除了感染win32可执行程序的功能，删除了部分版本中的本地web目录exe文件替换功能。

l  启用了新的网络基础设施：IP或domain资源，这些基础设施从3月份后开始活跃。（185.215.113.93，feedmefile.top，gotsomefile.top，gimmefile.top）

l  增加了基于Tor网络的基础设施，使僵尸网络的通信更加隐蔽。（7fv5nq57k4qvbrpt.onion）

l  增加了处理Tor-onion请求的代理服务器功能。

l  该版本病毒对乌克兰地区进行了双重规避。

该版本保留了Phorpiex僵尸网络木马的主要技术特征：

l  包括其一贯使用窗口函数进行大量无效操作进行代码，行为混淆。

l  保留移动设备的感染功能。

l  保留比特币窃取功能。

腾讯安全全系列产品已支持检测拦截Phorpiex僵尸网络变种的攻击活动。

二、腾讯安全解决方案

Phorpiex僵尸网络变种相关的威胁数据已加入腾讯安全威胁情报数据库，赋能给腾讯全系列安全产品，客户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等安全产品检测防御相关威胁。

腾讯主机安全（云镜）可对病毒攻击过程中产生得木马落地文件进行自动检测，客户可登录腾讯云->主机安全控制台，检查病毒木马告警信息，将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。

腾讯云防火墙已支持对Phorpiex僵尸网络变种的攻击活动进行检测拦截，腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率很高的漏洞利用。

私有云客户可通过旁路部署腾讯高级威胁检测系统（NTA、御界）进行流量检测分析，及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统（NTA、御界）可检测到Phorpiex僵尸网络变种外连C2服务器。

私有云客户可通过旁路部署腾讯天幕（NIPS）实时拦截Phorpiex僵尸网络的通信连接，腾讯天幕（NIPS）基于腾讯自研安全算力算法PaaS优势，形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

三、分析

该版本病毒会针对乌克兰地域做感染规避，为了保险，病毒使用了两种方式

1.通过访问wipmania进一步获取到病毒被感染者IP地址位置信息，避开UA（指乌克兰）

2.通过GetLocaleInfoA获取本地系统语言信息，避开UKR（同指乌克兰）

以上两种方式均能避开乌克兰地区的病毒感染

同时病毒使用了较新的IP&domain基础设施，并尝试使用标准http请求方式下载，解密，执行，位于4个基础设施内得6个传播载荷，循环每20分钟一次，而当前并未投放实际载荷。

病毒还进一步新增了基于Tor的基础设施（7fv5nq57k4qvbrpt.onion），并自建了Tor代理服务器。病毒会尝试连接，下载，执行托管在onion地址内的恶意载荷，循环每60分钟获取一次。

其tor代理服务功能使用到的相关代码API调用，均使用了动态加载获取调用地址的方式，进一步躲避安全软件查杀。

当病毒使用Tor-onion基础设施（7fv5nq57k4qvbrpt.onion）地址时，使用INTERNET_OPEN_TYPE_PROXY方式，PROXY_NAME指向本地127.0.0.1，代理端口为随机。随后病毒在本地对该随机端口进行绑定监听，创建一个有16个线程的IOCP-Tor代理服务器用于处理该端口上接收到的onion地址访问请求。

分析版本变种病毒除投递其它载荷外，同时保留了一些恶意行为功能，例如，虚拟币剪切板替换窃取加密货币交易的功能。

感染移动存储设备

虽然Phorpiex僵尸网络木马当前版本的目的未知，但不排除未来有进一步下发其它恶意病毒的可能，历史上我们曾捕获到Phorpiex的多次投递勒索病毒、挖矿木马和传播剪贴板大盗的行为。每次Phorpiex僵尸网络分发勒索软件，都会带来大批量的企业、个人系统被加密，造成严重损失。

四、威胁视角看威胁行为

IOCs

Md5:

ee0a1ec859b753abc30847157d81f37c

Ip&Domain&Onion:

185.215.113.93

feedmefile.top

gotsomefile.top

gimmefile.top

7fv5nq57k4qvbrpt.onion

Url:

hxxp://185.215.113.93/tt11

hxxp://185.215.113.93/tt22

hxxp://185.215.113.93/tt33

hxxp://185.215.113.93/tt44

hxxp://185.215.113.93/tt55

hxxp://185.215.113.93/tt66

参考链接：

1.Phorpiex变种：长期僵尸网络如何在当前威胁环境中持续发展

https://www.microsoft.com/security/blog/2021/05/20/phorpiex-morphs-how-a-longstanding-botnet-persists-and-thrives-in-the-current-threat-environment/

2.Phorpiex僵尸网络不甘作渠道，尝试自运营Knot勒索病毒

https://mp.weixin.qq.com/s/nRNFrEPBxIzH3mmwWzn-7Q

3.Phorpiex僵尸网络病毒新增感染可执行文件，同时传播Avaddon勒索病毒

https://mp.weixin.qq.com/s/sRE5CyyEutzs_Z9BDdyGnA

4.Nemty v2.5勒索借Phorpiex僵尸网络传播，可监视剪贴板劫持虚拟币交易

https://mp.weixin.qq.com/s/3kyLkoBd9K-5_VSk5Nnb6A

5.GandCrab 4.3勒索病毒再添新特性：借助Phorpiex蠕虫式主动传播，同时挖矿

https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。