Análisis profundo: la variante EKING de Phobos Ransomware

La  familia de ransomware Phobos  es bastante reciente, ya que los investigadores de seguridad la detectaron por primera vez a principios de 2019. Pero desde entonces, ha seguido lanzando nuevas variantes que no solo evolucionan los métodos de ataque, sino que también cambian con frecuencia el nombre de la extensión de los archivos cifrados en variantes pasadas. Y en su corta historia, sus víctimas a menudo se han quejado de que el atacante de Phobos las engañó al no restaurar archivos.

Hace dos semanas, FortiGuard Labs capturó una nueva muestra de amenaza de la naturaleza. Era un documento de Microsoft Word con una macro maliciosa diseñada para difundir la variante EKING de Phobos. Realicé un análisis profundo de esta muestra, y en esta publicación de análisis mostraré cómo esta variante infecta el sistema de la víctima y cómo escanea y cifra archivos usando un algoritmo AES en el dispositivo de una víctima, así como carpetas de red compartidas.

Abrir la muestra capturada en MS Office Word

Después de abrir el documento de Word, muestra una advertencia que indica a la víctima que haga clic en el botón «Habilitar contenido» en la barra amarilla para habilitar Macros, como se muestra en la Figura 1.1.

Dado que las macros pueden contener código malicioso, MS Office Word muestra de forma predeterminada una advertencia de seguridad que advierte a los usuarios que el documento podría ser peligroso. El usuario puede entonces decidir si ejecutar o no la macro (haciendo clic en el botón «Habilitar contenido»).

Sin embargo, la pantalla de advertencia de documentos es una artimaña. Al revisar el código de macro, encontré que tiene una función de evento incorporada llamada Document_Close (), que se invoca automáticamente cuando se cierra MS Office Word. En otras palabras, el código macro malicioso se ejecuta cuando la víctima cierra el documento. Esto también tiene la ventaja de evitar la detección de algunas soluciones de espacio aislado ( FortiSandbox detecta este archivo adjunto malicioso de Word como software de riesgo ).

El código de la macro es simple y claro. Extrae un bloque codificado en base64 de la muestra abierta en un archivo local en «C: \ Users \ Public \ Ksh1.xls». Luego decodifica el archivo en otro archivo llamando al comando “ Certutil -decode C: \ Users \ Public \ Ksh1.xls C: \ Users \ Public \ Ksh1.pdf ”. “Ksh1.pdf” es un archivo decodificado en base64, que es un archivo PE (archivo DLL). La Figura 1.2  es una captura de pantalla del código Macro, que muestra dónde está a punto de realizar un comando para decodificar en base64 el archivo «Ksh1.xls» en «Ksh1.pdf».

La tarea final de la macro es ejecutar el archivo PE decodificado «Ksh1.pdf» ejecutando el comando » Rundll32 C: \ Users \ Public \ Ksh1.pdf, In «. El archivo PE decodificado «Ksh1.pdf» es un archivo DLL con función de exportación » In » que es llamado por «Rundll32.exe» en la línea de comando anterior.

La Figura 1.3 muestra el código ASM de la función de exportación «In» de «Ksh1.pdf». De mis comentarios insertados junto al código ASM, uno puede entender fácilmente que primero crea un nuevo directorio en “C: \ Users \ Public \ cs5”. Luego descarga un archivo de la URL «hxxp: // 178 [.] 62 [.] 19 [.] 66 / campo / v / v» en el archivo «C: \ Users \ Public \ cs5 \ cs5.exe» por llamando a la API «URLDownloadToFile ()». Y finalmente, ejecuta el archivo descargado «cs5.exe» llamando a la API «CreateProcessA ()». Por cierto, la cadena de URL de descarga y la cadena de ruta completa del archivo están codificadas en el archivo DLL “Ksh1.pdf”. Curiosamente, el archivo descargado «cs5.exe» es el archivo de carga útil de Phobos.

Buscando en el archivo EXE de carga útil

“C: \ Users \ Public \ cs5 \ cs5.exe” es la carga útil de la variante EKING de Phobos, que ha sido protegida por un empaquetador desconocido, como se muestra en Exeinfo PE en la Figura 2.1.

Phobos tiene un bloque de configuración encriptado AES que contiene mucha información de configuración (69 elementos en esta variante). Estos se descifran en una función antes de usarse con un argumento de número de índice. También contiene la nueva cadena de extensión para archivos encriptados, datos para generar claves para encriptar archivos, una lista de exclusión de archivos, información de versión de Phobos, información de rescate para la víctima, etc. 

En la Figura 2.2 podemos ver un ejemplo de descifrado de la nueva extensión para archivos encriptados “.id [<<ID>> -2987]. [Wiruxa@airmail.cc] .eking”, cuyo número de índice es 0x04. Según una cadena descifrada “[<<ID>> -2987] v2.9.1”, cuyo número de índice es 0x33, sabemos que la versión de esta variante es v2.9.1.

Iniciar un segundo proceso y ejecutar dos grupos de comandos

Cuando se ejecuta «cs5.exe», crea un segundo proceso de sí mismo llamando a la API CreateProcessWithTokenW (), junto con un token del proceso Explorer.exe para que el segundo proceso se ejecute en el contexto de seguridad del token de Explorer.exe. De esta manera, tiene el privilegio necesario para leer y escribir más archivos en el sistema de la víctima. 

Phobos ejecuta dos grupos de comandos en dos hilos creados.

El primer grupo de comandos se enumeran a continuación con mis comentarios agregados:

vssadmin delete shadows / all / quiet    : elimina todas las instantáneas del volumen.
wmic shadowcopy delete   : elimina las instantáneas del equipo local.
bcdedit / set {default} bootstatuspolicy ignoreallfailures 
bcdedit / set {default} recoveryenabled no  – Desactiva la función de reparación de inicio automático.
wbadmin delete catalog –quiet   : elimina el catálogo de respaldo.
salida

Al eliminar las instantáneas que el sistema Windows realiza para la restauración del sistema, la víctima no puede usarlas para restaurar los archivos cifrados. También evita que la víctima restaure archivos de una reparación de inicio automática o de un catálogo de respaldo.

Los comandos del segundo grupo apagan el Firewall de Windows en el sistema infectado, como se muestra a continuación.

netsh advfirewall desactivó el estado actual del perfil   : para Windows 7 y versiones posteriores.
netsh firewall set opmode mode = disable   – Para Windows XP, versiones de Windows 2003.
salida

Adición de elementos de ejecución automática 

El malware también descifra la cadena «Software \ Microsoft \ Windows \ CurrentVersion \ Run» (el número de índice es 0x11), que es la ruta de la subclave del registro, del bloque de configuración cifrada. Luego crea un elemento de ejecución automática «cs5» en la misma subclave de ambas claves raíz, HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER. La Figura 4.1 es una captura de pantalla del elemento de ejecución automática agregado bajo la clave raíz «HKEY_CURRENT_USER».

Además de agregar este elemento al grupo de ejecución automática en el registro del sistema, también copia «cs5.exe» en dos carpetas de inicio automático: «% AppData% \ Microsoft \ Windows \ Menú Inicio \ Programas \ Inicio» y «% ProgramData % \ Microsoft \ Windows \ Menú Inicio \ Programas \ Inicio ”. La Figura 4.2 muestra el fragmento de código ASM de copiar “cs5.exe” en las dos carpetas de inicio.

Los archivos ejecutables en estas dos carpetas son ejecutados automáticamente por el sistema Windows cuando se inicia Windows. Eso significa que Windows iniciará cuatro archivos “cs5.exe” al inicio para mantener la supervivencia del malware. No necesita preocuparse por el conflicto. Phobos tiene un mecanismo que usa un objeto Mutex para garantizar que solo se esté ejecutando un proceso. Los otros procesos «cs5.exe» salen si existe el mismo objeto Mutex.

Tareas principales que realiza Phobos en el sistema de una víctima

En el caso del ransomware, la tarea principal es cifrar los archivos de la víctima y luego exigir un rescate por descifrar esos archivos cifrados. En esta sección, le mostraré cómo la variante EKING de Phobos realiza esta tarea.

Para aumentar su rendimiento, crea una serie de subprocesos para escanear y cifrar archivos en el sistema de la víctima. Además, utiliza una gran cantidad de objetos Event para controlar y sincronizar el progreso de estos hilos.

1. Hilo para finalizar procesos

Comienza iniciando un hilo para evitar terminar procesos específicos de una lista de nombres que contiene cuarenta y un nombres de procesos que se muestran, como se muestra a continuación. Como puede adivinar, la lista de nombres también se descifró del bloque de configuración con el número de índice 0x0a.

msftesql.exe; sqlagent.exe; sqlbrowser.exe; sqlservr.exe; sqlwriter.exe; oracle.exe; ocssd.exe; dbsnmp.exe; synctime.exe; agntsvc.exe; mydesktopqos.exe; isqlplussvc.exe; xfssvccon. exe; mydesktopservice.exe; ocautoupds.exe; agntsvc.exe; agntsvc.exe; agntsvc.exe; encsvc.exe; firefoxconfig.exe; tbirdconfig.exe; ocomm.exe; mysqld.exe; mysqld-nt.exe; mysqld- opt.exe; dbeng50.exe; sqbcoreservice.exe; excel.exe; infopath.exe; msaccess.exe; mspub.exe; onenote.exe; outlook.exe; powerpnt.exe; steam.exe; thebat.exe; thebat64. exe; thunderbird.exe; visio.exe; winword.exe; wordpad.exe

Esta lista de nombres de procesos ha sido detectada muchas veces por otras familias de ransomware para realizar la misma acción.

Estos procesos pertenecen a productos como MS SQL Server, Oracle Database, VMware, Panda Security, MySql, FireFox, SQL Anywhere, RedGate SQL Backup, MS Excel, MS Word, MS Access, MS PowerPoint, MS Publisher, MS OneNote, MS Outlook, The Bat !, Thunderbird, WordPad, etc.

Phobos sigue cerrando estas aplicaciones para obligarlas a liberar cualquier archivo que hayan abierto actualmente para que Phobos pueda cifrarlos.

2. Subprocesos para escanear archivos para cifrar

La función de subproceso de este subproceso llama a la API GetLogicalDrives () para obtener y enumerar todas las unidades lógicas en el sistema de la víctima, como «C: \», «D: \», «E: \» y así sucesivamente. A continuación, crea dos subprocesos de exploración para cada unidad lógica. Eso significa que los archivos de cada unidad lógica son manejados por dos subprocesos.

Para evitar destruir el sistema Windows de la víctima, ignora el cifrado de archivos en dos carpetas del sistema y sus subcarpetas, que son «% WinDir%» (generalmente «C: \ Windows») y «% ProgramData% \ Microsoft \ Windows \ Caches» . La Figura 5.1 muestra que Phobos puede detectar si una ruta actual («\\? \ D:») coincide con las dos carpetas del sistema que necesita ignorar.

Como se mencionó, crea dos subprocesos para escanear los archivos de cada unidad lógica. Un hilo es para el escaneo normal (un archivo por un archivo) y el otro es un escaneo especial solo para archivos relacionados con la base de datos. Puedo asumir que este tipo de archivos tienen más valor para la víctima que los demás. A continuación, analiza los archivos de la base de datos con las siguientes extensiones, que se enumeran a continuación (el número de índice de descifrado es 0x06):

fdb; sql; 4dd; 4dl; abs; abx; accdb; accdc; accde; adb; adf; ckp; db; db-journal;
db-shm; db-wal; db2; db3; dbc; dbf; dbs; dbt; dbv; dcb; dp1; eco; edb; epim; fcd; gdb;
mdb; mdf; ldf; myd; ndf; nwdb; nyf; sqlitedb; sqlite3; sqlite;

Además de esto, también tiene dos listas de exclusión de extensiones. Uno contiene las extensiones de archivo cifradas que Phobos ha utilizado en su historial, como se indica a continuación (el número de índice de descifrado es 0x07):

eking; actin; Acton; actor; Acuff; Acuna; agudo; adagio; Adair; Adame; banhu; banjo; Banks; Banta; Barak; Caleb; Cales; Caley; calix; Calle; Calum; Calvo; deuce; Dever; diablo; Devoe; Devon; Devos; dewar; ocho; expulsar; eking; Elbie; codo; anciano; phobos; ayuda; mezclar; bqux; com; mamba; KARLOS; DDoS; phoenix; PLUT; karma; bbc; CAPITAL; WALLET;

La otra lista contiene archivos que esta variante usa para mostrarle a su víctima la información del rescate, así como algunos archivos del sistema de Windows, como se enumera a continuación (el número de índice de descifrado es 0x08):

info.hta; info.txt; boot.ini; bootfont.bin; ntldr; ntdetect.com; io.sys; osen.txt

Ambas listas de exclusión son utilizadas por el subproceso de exploración en una función de devolución de llamada para filtrar archivos y cifrarlos de acuerdo con sus reglas. Mientras tanto, Phobos también crea un hilo de cifrado en cada hilo de escaneo para cifrar los archivos de la víctima. Así es como el subproceso de escaneo y el subproceso de cifrado funcionan juntos: El subproceso de escaneo sigue escaneando archivos y copiando el nombre del archivo con la ruta completa en un búfer común y se establece un evento una vez que se selecciona un archivo. A continuación, el hilo de cifrado puede obtener el nombre del archivo del búfer común y cifrarlo.

3. Algoritmo de cifrado y usos de fobos clave

Pbobos utiliza el modo AES ( Advanced Encryption Standard ) CBC (Cipher Block Chaining) como su algoritmo de cifrado para cifrar archivos. En mi análisis, esta variante de Phobos no utiliza las API de cifrado integradas para AES que proporciona Windows, pero implementa su propia función AES.

Como sabrá, cuando la gente habla sobre el cifrado y descifrado AES CBC, a menudo se mencionan «IV» y «Key». 

Por su longitud de clave, sabemos que Phobos usa una clave AES de 256 bits (20H bytes), que es el cifrado de archivos más fuerte. Además, utiliza un criptosistema de clave pública-privada asimétrica para proteger la clave AES. La clave pública se descifra del bloque de configuración con el número de índice 0x2.  

La clave AES se genera utilizando 10H bytes de datos aleatorios y 10H bytes de datos de la clave pública descifrada. Como puede ver en la Figura 5.2, acaba de generar su clave AES (20H bytes) en la parte superior de la ventana de memoria. La siguiente información son los datos relacionados de la clave AES cifrada (80H bytes) que se genera con los datos del número de serie del volumen de «% systemdrive%» (como «C: \» en el sistema de la víctima) y la clave pública, así como algunos valores constantes descifrados en la función Sub_401706. Los últimos cuatro bytes que siguen a la clave AES cifrada son un valor hash CRC32 de las dos partes anteriores. 

Siempre que la víctima proporcione los datos del número de serie del volumen de la unidad del sistema que se obtiene mediante la API GetVolumeInformationW () en Phobos, la clave AES cifrada y otros valores constantes, el atacante puede usar su clave privada para restaurar la clave AES. La clave AES cifrada se registrará en el archivo cifrado, explicaré la estructura del archivo cifrado más adelante. Es por eso que le pide a la víctima que proporcione el número de serie del volumen de la unidad del sistema en la página de información del rescate.

Los datos IV (Vector de inicialización) tienen una longitud de 10H bytes y generalmente se generan de forma aleatoria. También se registra en los archivos cifrados al igual que la clave AES cifrada. Se usa un IV junto con la clave AES para el cifrado de datos, como una sal para un algoritmo MD5.

Una vez que se obtienen los datos IV y la clave AES, puede descifrar los archivos cifrados.

4. Hilo para cifrar archivos

Como mencioné anteriormente, este es el hilo de cifrado iniciado por el hilo de escaneo. Una vez que el subproceso de escaneo selecciona un archivo, luego copia la ruta completa del archivo a un búfer común para el subproceso de cifrado, que es notificado por el subproceso de escaneo (estableciendo un objeto de evento). 

Luego descifra una cadena de formato (número de índice 0x04) del bloque de configuración como una nueva extensión de archivo para esos archivos encriptados, como se ve a continuación, donde “<<ID>>” será reemplazado por el número de serie del volumen de la unidad del sistema.

.id [<<ID>> -2987]. [wiruxa@airmail.cc] .eking

Este es solo un nuevo nombre de archivo formateado para el archivo cifrado con la nueva extensión. Esta vez, el archivo seleccionado y filtrado por un hilo de análisis es «\\? \ E: \ test_file.txt» y el nombre del archivo cifrado es «\\? \ E: \ test_file.txt.id [[581F1093- 2987]. [Wiruxa@airmail.cc] .eking ”.

Continúa leyendo el contenido del archivo seleccionado (por ejemplo: “E: \ test_file.txt”). Sabemos que el tamaño del bloque de cifrado AES se fija en 10H bytes. Por lo tanto, si el tamaño de los datos a cifrar no está alineado con 10H, es necesario agregar los datos usando relleno (Phobos usa «00» como relleno) para solucionar el problema. 

La figura 5.4 muestra que Phobos está a punto de llamar a la función AES_CBC_Encrypt (), cuyo arg0 es un objeto clave (AES_CTX Struct) que contiene el IV y la clave que se utilizan para cifrar el contenido del archivo que se muestra en la ventana de memoria (con tres elementos de relleno «00» adjuntos lo).

Después del cifrado, Phobos guarda el texto cifrado en el archivo cifrado (por ejemplo, «E: \ test_file.txt.id [[581F1093-2987]. [Wiruxa@airmail.cc] .eking») llamando a la API WriteFile (), como se muestra en la Figura 5.5.

El contenido del archivo cifrado consta de dos partes. La primera parte es el  texto cifrado del  contenido del archivo original. La segunda parte es un grupo de datos, al que llamo decryption_config_block. Se utiliza para descifrar la primera parte. La figura 5.6 es una captura de pantalla del contenido del archivo cifrado. Explicaré qué contiene decryption_config_block.

Los primeros 10H bytes (rodeados en rojo) son el contenido del archivo original cifrado, el mismo que se muestra en la Figura 5.5. Los bytes 40H (rodeados de azul) son un bloque cifrado que contiene algunos valores constantes, así como el nombre del archivo original, que se cifran con la misma clave AES y IV. Los siguientes bytes de 14H «00» se pueden considerar como un delimitador de datos. Los bytes 10H (rodeados de negro) son los datos IV solo para este archivo. El siguiente Dword 0x03 indica el tamaño del relleno añadido al contenido del archivo original (consulte la Figura 5.5 nuevamente). El bloque de datos 80H (en verde) son los datos relacionados de la clave AES cifrada, que se genera en el subproceso de escaneo y es diferente para los diferentes subprocesos de escaneo. La siguiente Dword 0xF2 es el tamaño de todo el bloque de descifrado_config.

Después de eso, lo último que hace Phobos es llamar a la API DeleteFileW () para borrar el archivo original del sistema de la víctima.

5. Escanear recursos para compartir en red

Esta función de hilo se centra en los recursos para compartir en red. Phobos llama a la API WNetOpenEnum () muchas veces usando diferentes valores del argumento dwScope. Estos son RESOURCE_CONNECTED, RESOURCE_RECENT, RESOURCE_CONTEXT, RESOURCE_REMEMBERED y RESOURCE_GLOBALNET.  

RESOURCE_CONNECTED: enumera todos los recursos conectados actualmente.
RESOURCE_RECENT: enumera todos los recursos conectados recientemente.
RESOURCE_CONTEXT: enumera solo aquellos recursos en el contexto de red del llamador.
RESOURCE_REMEMBERED: enumera todas las conexiones recordadas (persistentes).
RESOURCE_GLOBALNET: enumera todos los recursos de la red.

API WNetOpenEnumW () y WNetEnumResourceW () están involucrados en este trabajo para enumerar los recursos compartidos de red. 

Una vez que se obtiene un recurso con éxito, Phobos inicia los dos subprocesos de escaneo que discutí en el punto  2 , arriba, con la dirección completa del recurso, como \\? \ UNC \ {nombre del recurso} \ {nombre de la carpeta}, para iniciar el escanear y filtrar archivos en él. El subproceso de escaneo inicia el subproceso de cifrado y se observa que se cifra cuando se selecciona un archivo, como expliqué en el punto  4 .

La Figura 5.7, arriba, muestra un recurso compartido («\\? \ UNC \ VBoxSvr \ vbox_share_folder») que se obtiene de RESOURCE_CONNECTED, y está a punto de llamar a la función Sub_405840 para iniciar un nuevo hilo de escaneo en este recurso compartido.

6. Hilo para monitorear y escanear nuevas unidades lógicas

He hablado de Phobos escaneando archivos en unidades lógicas locales y escaneando recursos compartidos de red, que son todas las fuentes existentes en el sistema de la víctima. 

Existe otro hilo, cuya tarea principal es monitorear nuevas unidades lógicas. Por ejemplo, la víctima conecta una unidad flash USB o un teléfono celular, que el sistema Windows trata como una nueva unidad lógica. Esto será capturado por este hilo. Ejecuta la detección cada segundo e inicia dos nuevos subprocesos de exploración para las nuevas unidades lógicas que detecta. La Figura 5.8 muestra un pseudocódigo que muestra la estructura lógica de esta función de hilo.

Mostrar información de rescate a la víctima

El hilo principal de Phobos espera a que todos los hilos de exploración y los hilos de cifrado terminen su trabajo. Luego, coloca dos archivos, info.hta (información de rescate de la versión html) e info.txt (información de rescate de la versión de texto), en el escritorio, así como en el directorio raíz de las unidades lógicas disponibles en el sistema de la víctima. También llama a la API ShellExecuteExW () con el comando «abrir» para abrir la versión html info.hta en la pantalla de la víctima, como se muestra en la Figura 6.1.

Conclusión sobre el análisis profundo de la variante EKING

En esta publicación, proporcioné un análisis profundo de la variante EKING del ransomware Phobos. He presentado cómo se descarga el archivo de carga útil (cs5.exe) del documento de muestra original de MS Word y qué hace Phobos para mantenerlo persistente en el sistema de la víctima.

Analicé principalmente la tarea principal de Phobos: escanear y cifrar archivos en el sistema de la víctima. A través de esta publicación, sabemos ahora que no solo escanea archivos que no están en unidades lógicas, sino también recursos compartidos de red y nuevas unidades lógicas conectadas. También expliqué cómo esta variante de Phobos utiliza múltiples hilos para terminar su trabajo.  

Finalmente, expliqué cómo Phobos muestra la información de su rescate a la víctima cuando se realiza el cifrado.

Para proteger su dispositivo de ataques de malware, le recomendamos que no abra los archivos adjuntos de correo electrónico de fuentes que no sean de confianza. 

Soluciones Fortinet

Los clientes de Fortinet ya están protegidos de esta variante de Phobos con los servicios de filtrado web, antivirus y CDR (desarmado y reconstrucción de contenido) de FortiGuard, de la siguiente manera:

La URL de descarga está clasificada como » Sitios web maliciosos » por el servicio de filtrado web FortiGuard.

El documento de Word y el archivo de carga descargado se detectan como » VBA / Agent.KBU! Tr » y » W32 / Phobos.HGAF! Tr.ransom » y el servicio FortiGuard AntiVirus los bloquea.

Además, FortiSandbox detecta el documento de Word como software de riesgo.

Los usuarios de FortiMail están protegidos por FortiGuard AntiVirus, que detecta el documento de Word original que entrega Phobos y además está protegido con el servicio CDR que se puede utilizar para neutralizar la amenaza de todas las macros dentro de los documentos de Office.

Además, para evitar que los dispositivos sean atacados por malware entregado de esta manera, recomendamos que los usuarios no abran archivos adjuntos de correo electrónico de fuentes no confiables. También se recomienda encarecidamente la formación del usuario final sobre cómo identificar y marcar correos electrónicos potencialmente maliciosos.

Fuente: https://www.fortinet.com/blog/threat-research/deep-analysis-the-eking-variant-of-phobos-ransomware