Phobos勒索软件样本分析教学文档<\/h1>

1. 样本基本信息<\/h2>

文件大小<\/strong>: 61KB<\/li>
MD5<\/strong>: ca52ef8f80a99a01e97dc8cf7d3f5487<\/li>
文件类型<\/strong>: EXE可执行文件<\/li>

病毒家族<\/strong>: Phobos勒索软件<\/li> <\/ul>
2. 持久化机制分析<\/h2>
2.1 注册表持久化<\/h3>

使用RegOpenKeyExW<\/code>打开Run注册表项<\/li>
在%AppData%\Local<\/code>目录下创建自身副本<\/li>
创建基于可执行文件名称命名的注册表项，指向新创建的可执行文件<\/li> <\/ul> 2.2 互斥锁创建<\/h3> 创建两个互斥锁防止重复感染: Global\\<<BID>><Volume serial number>00000001<\/code><\/li> Global\\<<BID>><Volume serial number>00000000<\/code><\/li> <\/ul> <\/li> <\/ul> 3. 系统信息收集<\/h2> 3.1 系统环境检测<\/h3> 使用GetTickCount()<\/code>获取系统启动时间<\/li> 使用GetLocaleInfoW<\/code>获取系统默认语言环境<\/li> 使用GetModuleFileNameW<\/code>获取当前进程路径<\/li> 使用GetVersion<\/code>提取系统主\/次版本号<\/li> <\/ul> 3.2 权限提升检测<\/h3> 调用OpenProcessToken<\/code>打开当前进程访问令牌<\/li> 使用GetTokenInformation<\/code>验证令牌是否被提升<\/li> <\/ul> 3.3 系统驱动器检测<\/h3> 展开环境变量%systemdrive%<\/code>获取Windows目录所在驱动器<\/li> <\/ul> 4. 破坏性操作<\/h2> 4.1 删除系统恢复功能<\/h3> 通过创建新线程执行以下命令:<\/p> vssadmin delete shadows \/all \/quiet wmic shadowcopy delete bcdedit \/set {default} bootstatuspolicy ignoreallfailures bcdedit \/set {default} recoveryenabled no wbadmin delete catalog -quiet <\/code><\/pre> 4.2 禁用防火墙<\/h3> 执行命令:<\/p> netsh advfirewall set currentprofile state off netsh Firewall set opmode mode=disable <\/code><\/pre> 5. 进程终止策略<\/h2> 5.1 特权提升<\/h3> 使用LookupPrivilegeValueW<\/code>获取"SeDebugPrivilege"权限的LUID<\/li> 调用AdjustTokenPrivileges<\/code>启用该权限<\/li> <\/ul> 5.2 终止关键进程<\/h3> 终止可能锁定文件的进程列表包括:<\/p> 数据库相关: msftesql.exe<\/code>, sqlagent.exe<\/code>, sqlbrowser.exe<\/code>, sqlservr.exe<\/code>等<\/li> 邮件客户端: thebat.exe<\/code>, thunderbird.exe<\/code><\/li> Office组件: excel.exe<\/code>, winword.exe<\/code>, powerpnt.exe<\/code>等<\/li> 其他: steam.exe<\/code>, mysqld.exe<\/code>, oracle.exe<\/code>等<\/li> <\/ul> 5.3 进程枚举方法<\/h3> 使用CreateToolhelp32Snapshot<\/code>创建进程快照<\/li> 通过Process32FirstW<\/code>和Process32NextW<\/code>枚举进程<\/li> 使用TerminateProcess<\/code>终止目标进程<\/li> <\/ul> 6. 网络共享加密<\/h2> 6.1 网络资源枚举<\/h3> 使用WNetOpenEnumW<\/code>启动已连接资源枚举(RESOURCE_CONNECTED<\/code>)<\/li> 通过WNetEnumResourceW<\/code>继续枚举<\/li> <\/ul> 6.2 IP地址获取<\/h3> 调用GetIpAddrTable<\/code>获取IPv4地址映射表<\/li> 使用ntohl<\/code>将IP地址从网络序转换为主机序<\/li> <\/ul> 6.3 网络连接测试<\/h3> 创建TCP套接字(AF_INET<\/code>, SOCK_STREAM<\/code>, IPPROTO_TCP<\/code>)<\/li> 尝试通过445端口连接网络主机以加密可用共享<\/li> <\/ul> 7. 文件加密机制<\/h2> 7.1 目标文件类型<\/h3> 加密扩展名列表包括:<\/p> .fdb, .sql, .4dd, .4dl, .abs, .abx, .accdb, .accdc, .accde, .adb, .adf, .ckp, .db, .db-journal, .db-shm, .db-wal, .db2, .db3, .dbc, .dbf, .dbs, .dbt, .dbv, .dcb, .dp1, .eco, .edb, .epim, .fcd, .gdb, .mdb, .mdf, .ldf, .myd, .ndf, .nwdb, .nyf, .sqlitedb, .sqlite3, .sqlite <\/code><\/pre> 7.2 加密流程<\/h3> 以读取模式打开目标文件(GENERIC_READ<\/code>, FILE_SHARE_DELETE | FILE_SHARE_WRITE | FILE_SHARE_READ<\/code>, OPEN_EXISTING<\/code>)<\/li> 使用GetFileSizeEx<\/code>获取文件大小大于1.5MB的文件部分加密<\/li> 小于等于1.5MB的文件全部加密<\/li> <\/ul> <\/li> 使用ReadFile<\/code>读取文件内容<\/li> 应用自定义AES加密算法<\/li> 使用WriteFile<\/code>写入加密后内容<\/li> 未加密文件被0覆盖后删除<\/li> <\/ol> 7.3 自定义AES实现<\/h3> 加密逻辑位于sub_4062A6<\/code>函数<\/li> 自定义AES加密算法在sub_40646A<\/code>实现<\/li> 不依赖Windows API，独立实现<\/li> 使用硬编码的AES密钥<\/li> <\/ul> 7.4 RSA公钥使用<\/h3> 在sub_XX1A76<\/code>函数中解密用于加密文件AES256密钥的RSA公钥<\/li> <\/ul> 8. 线程与进程控制<\/h2> 8.1 线程创建<\/h3> 使用DuplicateTokenEx<\/code>创建新访问令牌<\/li> 在新令牌的安全上下文中运行新线程<\/li> <\/ul> 8.2 管道通信<\/h3> 使用CreatePipe<\/code>创建两个匿名管道<\/li> 设置HANDLE_FLAG_INHERIT<\/code>使读取句柄可继承<\/li> 创建"cmd.exe"进程通过管道执行命令<\/li> <\/ul> 8.3 驱动器枚举<\/h3> 使用GetLogicalDrives<\/code>获取可用磁盘驱动器的位掩码<\/li> 创建线程遍历网络共享和驱动器寻找加密目标<\/li> <\/ul> 9. 事件同步<\/h2> 使用CreateEventW<\/code>创建两个未命名事件对象<\/li> 用于同步线程活动<\/li> <\/ul> 10. 防御建议<\/h2> 备份策略<\/strong>:<\/p> 实施3-2-1备份规则(3份副本，2种介质，1份离线)<\/li> 保护备份不被勒索软件访问<\/li> <\/ul> <\/li> 系统加固<\/strong>:<\/p> 禁用不必要的服务<\/li> 限制用户权限<\/li> 启用UAC<\/li> <\/ul> <\/li> 安全监控<\/strong>:<\/p> 监控可疑的进程创建<\/li> 检测大量文件修改操作<\/li> 监控注册表修改<\/li> <\/ul> <\/li> 网络防护<\/strong>:<\/p> 限制SMB(445端口)访问<\/li> 实施网络分段<\/li> 监控异常网络连接<\/li> <\/ul> <\/li> 终端防护<\/strong>:<\/p> 部署EDR解决方案<\/li> 保持系统和软件更新<\/li> 禁用宏脚本执行<\/li> <\/ul> <\/li> 应急响应<\/strong>:<\/p> 准备事件响应计划<\/li> 定期测试恢复流程<\/li> 保留关键系统快照<\/li> <\/ul> <\/li> <\/ol>