勒索軟體Pandora(潘多拉)樣本分析報告
3月,Pandora勒索組織攻擊了汽車巨頭DENSO,成功入侵位於德國的DENSO分部並洩露竊取的1.4TB資料。近日,江民反病毒中心再次捕獲到該組織樣本,以下是相關分析報告。
樣本資訊
樣本名稱:Trojan.DelShad.byf
樣本家族:Pandora
樣本型別:pe64
MD5:0c4a84b66832a08dccc42b478d9d5e1b
SHA1:160320b920a5ef22ac17b48146152ffbef60461f
檔案型別:exe
檔案大小:223,232位元組
傳播途徑:釣魚郵件、漏洞利用、RDP爆破
樣本概況
Pandora(潘多拉)就是這樣一個聽上去充滿夢幻的名字,卻是一個網路犯罪組織。Pandora組織首次出現於2022年2月中旬,主要以企業網路為目標進行針對性攻擊,主要透過釣魚郵件、漏洞利用、RDP爆破等方式進行傳播,採用Raas雙重勒索的策略,在對使用者系統進行加密導致工作無法正常運作的情況下,利用竊取的資料脅迫使用者支付贖金,否則就外洩。該組織使用Tor站點或者Email郵箱方式與受害者聯絡。Pandora可能是rook勒索的重塑版本,原因是程式碼相似性和操作使用的打包程式,而Babuk還被認為是洩露的rook勒索軟體的原始碼。
樣本危害
1)加密系統特定目錄、格式文
2)禁用系統安全措施
3)刪除磁碟卷影、回收站
應對措施及建議
1).安裝江民防毒軟體並將病毒庫升級為最新版本,並定期對計算機進行全盤掃描。
2).關閉不需要的埠,如3389、445、139、135等不用的高危埠。
3).建議開啟系統自動更新補丁,伺服器應及時更新系統補丁。
4).加強口令強度,定期修改口令,避免被攻擊者進行弱口令爆破。
5).定期對重要資料進行備份,備份的資料應與主機隔離。
6).對主機進行安全加固,系統安全測試。
7).設定IP白名單,配置高階安全windows防火牆,設定遠端桌面的入站規則。
8).開啟系統上關鍵的日誌收集功能,為追蹤溯源提供一定的基礎。
9).江民防毒提供安全服務,建議及時斷網並保護現場聯絡江民。
詳細分析報告
Pandora概述
Pandora組織採用典型的雙重勒索模式(Raas),它會竊取受害者裝置上的資料並對受害者的檔案進行加密,如果受害者不支付贖金,便公佈竊取的贖金。該軟體已被評為中級的勒索軟體,採用的技術較為新穎,使用了許多反分析、混淆技術,以此來阻擋安全研究人員。
Pandora勒索與rook勒索的程式碼存在類似的地方,Rook勒索軟體使用了去年9月洩露的babuk原始碼,所以這裡推測Pandora可能使用的也是babuk的原始碼,因為其兩者相同屬性較多。
目前,江民防毒各客戶端均可查殺該樣本的本體勒索的二進位制檔案。
勒索樣本分析
樣本為64位pe檔案,該樣本為勒索軟體本身,本身使用upx進行打包,此樣本不具有通訊功能,僅僅用於加密系統上的檔案,所以當此樣本執行時,攻擊者可能已經拿到了使用者的關鍵資料或者獲得了伺服器的訪問許可權。
Pandora使用了改進過後的upx打包程式,標準的upx解密對其不起作用,透過手動除錯也可以正常脫殼。
在啟動之後建立互斥體,防止程式多開ThisIsMutexa並且程式碼存在非同尋常的控制流模式,使得IDA無法正常解析其流程,主要是用於干擾研究人員分析。
對於windows api的呼叫,雖然在解壓過後的二進位制檔案當中可以找到,但是其呼叫的過程非常麻煩。所有api被包含在一個巨大的跳轉表,每一個地址都重定向到對應庫函式的jmp指令,這將導致在靜態分析當中無法確定呼叫的是哪一個API,從而影響效率。
加密檔案
樣本加密磁碟檔案的速度十分迅速,使用多執行緒方式來執行,在加密時,會過濾掉影響系統正常執行的檔案或者資料夾,列表如下:
還會過濾掉一些特定字尾格式的檔案,如果字尾匹配就不會加密,加密檔案時,還會對檔案進行解鎖,確保最大的加密覆蓋率。
在每個被加密的資料夾下生成一份Restore_My_Files.txt ,其作用表示通知使用者檔案被加密了,對使用者留下了兩種聯絡方式,用於支付贖金的渠道。
一種是Tor站點方式,目前pandora的主Tor站點已經無法訪問
一種是Email方式:contact@pandoraxyz.xyz
樣本使用RSA-2028加密,在樣本中硬編碼了一個公鑰,一旦檔案被加密之後,會將內容更新到磁碟,加上感染字尾 .pandora副檔名。
並且在登錄檔中寫入了兩個生成的私鑰,被存放在HKCU\\SOFTWRE\\Public|Private當中。
刪除磁碟卷影,防止使用者利用此來恢復磁碟資料,樣本使用ShellExcuteW來呼叫vssadmin.exe執行/c vssadmin.exe delete shadows /all /quiet。
另外,樣本還會透過修改windows系統的ntdll.dll中EtwEvenWrite api來禁用windows 安全事件功能,會將函式的第一個位元組直接修改成0xC3,從而導致該api被呼叫時會直接返回,不會記錄事件。
總結
新出現的Pandora勒索病毒使用的勒索手段比較先進,會透過多重技術手段混淆安全人員分析和軟體防護,同時會竊取未加密的檔案用於勒索需求。江民安全專家提醒廣大使用者做好防護。
相關文章
- Android勒索軟體研究報告Android
- 潘多拉Pandora系統開發/Pandoradapp開發智慧合約APP
- 2020上半年勒索軟體洞察報告
- Cybersecurity Insiders:2017年勒索軟體報告IDE
- 宏碁再次遭遇勒索病毒攻擊、谷歌分析8000萬個勒索軟體樣本|10月15日全球網路安全熱點谷歌
- 潘多拉魔盒(Pandora)NFT交易系統開發智慧合約
- Sodinoki樣本分析報告
- McAfee針對GandCrab勒索軟體的分析
- BSC鏈潘多拉星球Pandora開發系統智慧合約詳情
- 報告顯示 WannaCry 依然是最讓人頭疼的勒索軟體
- 最新安全報告:單反相機已成為勒索軟體攻擊目標
- Unit 42勒索軟體威脅報告:2020年勒索軟體的平均贖金增加近兩倍達31萬2493美元
- 破解勒索軟體
- 勒索軟體一季度報告:只有8%的贖金換回了資料
- 看直播,領報告 |《勒索軟體的認識與防禦指南》最新發布!
- 軟體測試--缺陷報告
- Palo Alto Networks:2021年勒索軟體報告 平均支付贖金增長171%
- 勒索軟體屢禁不止 如何降低遭受勒索軟體攻擊的風險?
- CNAS軟體測試報告測試報告
- 軟體驗收測評報告怎麼做?軟體測評報告費用標準
- TransparentTribe APT組織最新樣本分析報告APT
- 首版次軟體產品申報材料-軟體確認測試報告測試報告
- 軟體測試報告包含哪些內容?如何獲取高質量軟體測試報告?測試報告
- NCC Group釋出報告稱PYSA和LockBit是11月最活躍的勒索軟體團伙
- 軟體系統功能測試報告測試報告
- 合法軟體淪為勒索工具
- 勒索軟體產業化的感想產業
- 勒索軟體攻擊影響
- 軟體測試報告內容如何編寫?可出具專業軟體測試報告公司安利測試報告
- 雲端計算開源產業聯盟:2022年勒索軟體發展報告(附下載)產業
- 軟體管理報告:安全勢在必行
- 軟體測評報告快問快答(二)
- 軟體安全測試報告怎麼編寫?出具測試報告的權威軟體檢測機構測試報告
- 勒索軟體簡介:BlackMatter
- 轉:Tivoli軟體專案——《儲存管理軟體實施報告》
- statspack 報告分析
- 美國權威開源軟體機構:WHITESOURCE《DevSecOps 深度分析報告》dev
- 家居工業軟體市場未來將突破千億規模 | 愛分析報告