勒索軟體Pandora(潘多拉)樣本分析報告

江民科技發表於2022-05-13

3月,Pandora勒索組織攻擊了汽車巨頭DENSO,成功入侵位於德國的DENSO分部並洩露竊取的1.4TB資料。近日,江民反病毒中心再次捕獲到該組織樣本,以下是相關分析報告。


樣本資訊

樣本名稱:Trojan.DelShad.byf

樣本家族:Pandora

樣本型別:pe64

MD5:0c4a84b66832a08dccc42b478d9d5e1b

SHA1:160320b920a5ef22ac17b48146152ffbef60461f

檔案型別:exe

檔案大小:223,232位元組

傳播途徑:釣魚郵件、漏洞利用、RDP爆破


樣本概況


Pandora(潘多拉)就是這樣一個聽上去充滿夢幻的名字,卻是一個網路犯罪組織。Pandora組織首次出現於2022年2月中旬,主要以企業網路為目標進行針對性攻擊,主要透過釣魚郵件、漏洞利用、RDP爆破等方式進行傳播,採用Raas雙重勒索的策略,在對使用者系統進行加密導致工作無法正常運作的情況下,利用竊取的資料脅迫使用者支付贖金,否則就外洩。該組織使用Tor站點或者Email郵箱方式與受害者聯絡。Pandora可能是rook勒索的重塑版本,原因是程式碼相似性和操作使用的打包程式,而Babuk還被認為是洩露的rook勒索軟體的原始碼。


樣本危害


1)加密系統特定目錄、格式文

2)禁用系統安全措施

3)刪除磁碟卷影、回收站


應對措施及建議


1).安裝江民防毒軟體並將病毒庫升級為最新版本,並定期對計算機進行全盤掃描。

2).關閉不需要的埠,如3389、445、139、135等不用的高危埠。

3).建議開啟系統自動更新補丁,伺服器應及時更新系統補丁。

4).加強口令強度,定期修改口令,避免被攻擊者進行弱口令爆破。

5).定期對重要資料進行備份,備份的資料應與主機隔離。

6).對主機進行安全加固,系統安全測試。

7).設定IP白名單,配置高階安全windows防火牆,設定遠端桌面的入站規則。

8).開啟系統上關鍵的日誌收集功能,為追蹤溯源提供一定的基礎。

9).江民防毒提供安全服務,建議及時斷網並保護現場聯絡江民。


詳細分析報告

Pandora概述


Pandora組織採用典型的雙重勒索模式(Raas),它會竊取受害者裝置上的資料並對受害者的檔案進行加密,如果受害者不支付贖金,便公佈竊取的贖金。該軟體已被評為中級的勒索軟體,採用的技術較為新穎,使用了許多反分析、混淆技術,以此來阻擋安全研究人員。

勒索軟體Pandora(潘多拉)樣本分析報告


Pandora勒索與rook勒索的程式碼存在類似的地方,Rook勒索軟體使用了去年9月洩露的babuk原始碼,所以這裡推測Pandora可能使用的也是babuk的原始碼,因為其兩者相同屬性較多。

目前,江民防毒各客戶端均可查殺該樣本的本體勒索的二進位制檔案。

勒索軟體Pandora(潘多拉)樣本分析報告


勒索樣本分析


樣本為64位pe檔案,該樣本為勒索軟體本身,本身使用upx進行打包,此樣本不具有通訊功能,僅僅用於加密系統上的檔案,所以當此樣本執行時,攻擊者可能已經拿到了使用者的關鍵資料或者獲得了伺服器的訪問許可權。

Pandora使用了改進過後的upx打包程式,標準的upx解密對其不起作用,透過手動除錯也可以正常脫殼。

勒索軟體Pandora(潘多拉)樣本分析報告


在啟動之後建立互斥體,防止程式多開ThisIsMutexa並且程式碼存在非同尋常的控制流模式,使得IDA無法正常解析其流程,主要是用於干擾研究人員分析。

勒索軟體Pandora(潘多拉)樣本分析報告


對於windows api的呼叫,雖然在解壓過後的二進位制檔案當中可以找到,但是其呼叫的過程非常麻煩。所有api被包含在一個巨大的跳轉表,每一個地址都重定向到對應庫函式的jmp指令,這將導致在靜態分析當中無法確定呼叫的是哪一個API,從而影響效率。

勒索軟體Pandora(潘多拉)樣本分析報告


加密檔案


樣本加密磁碟檔案的速度十分迅速,使用多執行緒方式來執行,在加密時,會過濾掉影響系統正常執行的檔案或者資料夾,列表如下:

勒索軟體Pandora(潘多拉)樣本分析報告


還會過濾掉一些特定字尾格式的檔案,如果字尾匹配就不會加密,加密檔案時,還會對檔案進行解鎖,確保最大的加密覆蓋率。

勒索軟體Pandora(潘多拉)樣本分析報告


在每個被加密的資料夾下生成一份Restore_My_Files.txt ,其作用表示通知使用者檔案被加密了,對使用者留下了兩種聯絡方式,用於支付贖金的渠道。

一種是Tor站點方式,目前pandora的主Tor站點已經無法訪問

一種是Email方式:contact@pandoraxyz.xyz

勒索軟體Pandora(潘多拉)樣本分析報告


樣本使用RSA-2028加密,在樣本中硬編碼了一個公鑰,一旦檔案被加密之後,會將內容更新到磁碟,加上感染字尾 .pandora副檔名。

勒索軟體Pandora(潘多拉)樣本分析報告


並且在登錄檔中寫入了兩個生成的私鑰,被存放在HKCU\\SOFTWRE\\Public|Private當中。

勒索軟體Pandora(潘多拉)樣本分析報告


刪除磁碟卷影,防止使用者利用此來恢復磁碟資料,樣本使用ShellExcuteW來呼叫vssadmin.exe執行/c vssadmin.exe delete shadows /all /quiet。

勒索軟體Pandora(潘多拉)樣本分析報告


另外,樣本還會透過修改windows系統的ntdll.dll中EtwEvenWrite api來禁用windows 安全事件功能,會將函式的第一個位元組直接修改成0xC3,從而導致該api被呼叫時會直接返回,不會記錄事件。

勒索軟體Pandora(潘多拉)樣本分析報告


總結

新出現的Pandora勒索病毒使用的勒索手段比較先進,會透過多重技術手段混淆安全人員分析和軟體防護,同時會竊取未加密的檔案用於勒索需求。江民安全專家提醒廣大使用者做好防護。


相關文章