安全研究 | 工业数控机床软件也会被APT勒索利用？

       近日，长扬科技安全研究院成员对互联网上工控软件进行检索时，发现了一款被黑客“加料”的数控机床相关软件。

       该软件名为Machining，是一款由格雷西姆公司推出的数控机床模拟仿真软件，该软件采用编程3D机床模型和数控面板来模拟真实机床的操作和加工过程，常应用在工业数控数据加工模拟等领域。本次发现的被黑客“加料”的软件版本为：2.1.7.7，用户执行被“加料”的安装程序后，会优先执行勒索病毒进行全盘加密,使计算机功能瘫痪，威胁巨大。

被“加料”的Machining软件安装包

      本次“加料”的主角为臭名昭著的Phobos勒索病毒。被“加料”的exe安装文件运行后会释放所有的加载文件。AdobeIPCBroker.exe文件为主运行文件。

释放的所有安装文件

AdobeIPCBroker文件的相关信息

       当运行AdobeIPCBroker.exe 程序会连续调用多个cmd命令和最终生成勒索信息。从图中可以连续观察出进程所调用得参数流程。

动态执行流程

       首先是调用cmd执行vssadmin.exe、WMIC.exe、bcdedit.exe、wbadmin.exe，执行删除影子副本，取消开机自动修复，删除备份等。

       vssadmin delete shadows /all /quiet

       wmic shadowcopy delete

       这种方法在勒索软件编写者中也非常流行，GandCrab、Robinhood、Phobos、LockBit、Rapid和JCry都采用了这种方法。其次采用的是cmd执行netsh.exe关闭windows防火墙。

       netsh advfirewall set currentprofile state off

       netsh firewall set opmode mode=disable

       最后阶段会在每一个用户的桌面文件夹和硬盘根目录下生成一个info.hta勒索联系方式信息的文件。对进程监控定位到几个可疑的文件，分别为：TmEvent.dll、libcui40.dll、ground。

 加载相关的DLL

       勒索加密过程完成后，会弹出如下提示，“指导”被害者付款。

info.hta勒索病毒联系方式

       勒索信息文本文件info.txt，内容如下所示：

info.txt文件联系方式

       经过逆向分析TmEvent.dll文件和libcui40.dll文件代码，最终定位到libcui40.dll中RenderObject函数加载ground并进行多次解密，最终执行shellcode代码开始勒索。

加载病毒ground文件

      截止到4月12号，核心恶意文件ground已经被9款杀毒软件定义为病毒。

Virustotal查毒

       经深入分析，加密文件添加了攻击者的电子邮件。Phobos家族的特定变体还添加了扩展名“.Devos”——但是在不同的变体中遇到了不同的扩展名。一般模式是：

加密后的文件

黑客留下的相关联系方式

邮箱地址：

martin1993douglas@pressmail.ch

bryan1984jackson@tutanota.com

Telegram联系方式：

@devos_support

Jabber联系方式：

cris_nickson@xmpp.jp

总结

此次的勒索病毒样本最主要是在于捆绑了数控模拟软件进行勒索。传统型勒索是针对大规模热门软件或者APT植入病毒得形式，而本次采用得是针对工业数控软件进行捆绑植入，病毒核心伪装需要多次解密才可以进行运行，巧妙地规避掉了杀毒软件。经分析可能某勒索团队即将计划针对工业企业用户进行勒索。