老牌僵尸网络 Phorpiex 再次成为网络安全领域的焦点。近日,资安公司 Cybereason 发布报告指出,Phorpiex 被用于自动化投递 LockBit 3.0 勒索软件,攻击流程完全无需人为干预。这一发现不仅揭示了 Phorpiex 的高度模块化设计和重用性,也凸显了勒索软件攻击日益自动化的趋势。
Phorpiex:历史悠久的多用途恶意软件下载工具
Phorpiex(又名 Trik)自 2010 年起便活跃于各类网络攻击活动。最初,它以垃圾邮件推送和挖矿行为闻名,但近年来逐渐演变为一款多功能恶意软件下载工具,被广泛用于传播多种恶意程序,包括 GandCrab、TWIZT 和现在的 LockBit 3.0。
尽管技术上没有显著更新,Phorpiex 依然保留了一些老旧行为,例如删除 Windows 下载区域标记文件以掩盖恶意档案的真实来源。这种“低调”的设计使其能够长期逃避检测,持续为攻击者提供服务。
LockBit 3.0:通过 Phorpiex 实现自动化投递
LockBit 是一种典型的勒索软件即服务(RaaS)模式恶意软件,自 2019 年首次出现以来,便在全球范围内发动了多起重大攻击。尽管在 2024 年初,LockBit 团伙的部分基础设施和成员遭到多国执法部门的联合打击,但其攻击活动并未停止。此次通过 Phorpiex 投递 LockBit 3.0 的案例表明,该团伙正在重新调整策略并卷土重来。
攻击流程分析
- 初始感染
攻击通常通过钓鱼邮件传播,邮件中附带 ZIP 压缩文件。压缩包内包含伪装成图片文件的加载器变体(扩展名为 .SCR)。一旦用户启动该文件,加载器便会连接至位于俄罗斯的 C2(命令与控制)服务器。 - 下载与执行勒索软件
加载器会尝试从远程服务器下载名为 lbbb.exe 的 LockBit 3.0 勒索程序。为了确保下载过程不受本地缓存干扰,加载器会先删除 URL 缓存记录。 - 隐藏行为
- 加载器利用字符串加密和动态函数解析技术隐藏其真实行为,仅在执行时解密所需的系统组件。
- 所有下载的文件会被存储在系统的临时文件夹中,并赋予随机文件名以规避特征扫描。
- 最后,加载器会删除记录来源信息的附加文件,抹除可供追查的线索。
整个攻击流程高度自动化,无需黑客进行后续操作,这与传统勒索软件攻击依赖人工作业的模式形成鲜明对比。
Phorpiex 的模块化设计:灵活且易于重用
Phorpiex 的核心优势在于其模块化设计,使其能够轻松适配不同类型的恶意软件。研究人员比较了 Phorpiex 在传播 TWIZT、GandCrab 和 LockBit 3.0 时的行为,发现其核心操作几乎一致:
- 自我复制:通过内置机制快速扩散。
- 自动执行:确保恶意程序能够在受感染主机上顺利运行。
- 痕迹清除:删除日志和缓存文件,掩盖攻击源头。
以下是 Phorpiex 在不同攻击中的具体表现:
- TWIZT:通过快捷方式文件触发下载程序,并创建空白 JPEG 文件判断是否重复感染。
- GandCrab:具备反侦测能力和关闭防病毒软件的功能。
- LockBit 3.0:专注于自动化投递,简化了攻击者的操作流程。
这种高度模块化的设计使得 Phorpiex 成为攻击者的理想工具,无论是用于勒索软件、挖矿程序还是其他恶意软件,都能灵活适应需求。
威胁分析:自动化攻击的趋势与挑战
此次通过 Phorpiex 投递 LockBit 3.0 的案例,反映了现代勒索软件攻击的一个重要趋势——高度自动化。传统勒索软件攻击通常需要攻击者手动完成多个步骤(如渗透、横向移动、部署勒索软件等),而自动化工具的引入显著降低了攻击门槛,使更多低技能攻击者也能发动复杂的攻击。
此外,Phorpiex 的模块化设计和长期活跃性也提醒我们,恶意软件的生命周期可能比预期更长。即使某些功能看似过时,它们仍可能被重新利用,造成新的威胁。
防御建议
面对 Phorpiex 和 LockBit 3.0 等威胁,企业和个人可以采取以下措施加强防护:
- 提高员工安全意识
教育员工识别钓鱼邮件,避免打开可疑附件或点击不明链接。 - 定期更新系统和软件
及时修补漏洞,减少攻击者利用未修复漏洞的机会。 - 实施多层次防御策略
部署高级威胁检测工具,结合行为分析和机器学习技术,识别隐藏的恶意活动。 - 备份关键数据
定期备份重要数据,并将备份存储在离线环境中,防止勒索软件加密所有副本。 - 监控异常行为
密切关注系统中的异常活动,例如未知进程、临时文件夹中的可疑文件或网络流量激增。
评论