1. 簡介
網路安全環境持續演變,勒索軟體仍然是持續存在且複雜的威脅。在眾多新興團體中, Payouts King 近期因其先進的戰術與操作手法而引起關注。這篇報告提供 Payouts King 勒索軟體的全面技術分析,探討其混淆技術、command-line 參數、持久性機制與加密程序。借鑒 Zscaler ThreatLabz 的研究 [1] 以及有關惡意程式規避與持久性的相關研究 [2] [3],報告目的在闡明使 Payouts King 能夠有效瞄準並入侵系統的技術細節。
Payouts King 於 2025 年 4 月出現,當時正值惡名昭彰的 BlackBasta 勒索軟體集團解散。據信,BlackBasta 的前附屬成員已採用新的勒索軟體家族(包括 Payouts King)來繼續其惡意活動。這些攻擊通常利用初始存取仲介,並採用像是垃圾郵件轟炸(Spam bombing)、網路釣魚(Phishing)與語音釣魚(Vishing )等技術,以在組織內部取得最初的立足點 [1]。
2. 技術分析
2.1 混淆與規避技術
Payouts King 採用多種進階的混淆與規避技術,以阻礙防毒軟體與端點偵測及回應 (Endpoint Detection and Response, EDR) 軟體的偵測。這些技術包括在堆疊上建立並解密字串、透過 hash 匯入與解析 Windows API 函式,以及對重要字串進行 hash 而非寫死 [1]。
一項值得注意的技術是結合 FNV1 hashes 與自訂 CRC checksum 演算法來進行字串混淆。以下以 Python 重現的自訂 CRC checksum 函式,展示了勒索軟體如何為其內部字串產生獨特的 checksum,使安全工具難以根據靜態特徵來識別它們:
- def payouts_king_crc32(input_string: bytes) -> int:
- checksum = 0
- poly = 0xBDC65592
- for char_val in input_string:
- char_val |= 0x20
- checksum ^= char_val
- for _ in range(8):
- if checksum & 1:
- checksum = (checksum >> 1) ^ poly
- else:
- checksum >>= 1
- checksum &= 0xFFFFFFFF
- return checksum
此外,Payouts King 為每個混淆字串使用獨特的 seed 值來產生 FNV1 hashes,這能有效繞過依賴預先計算 hash 表的偵測機制。該勒索軟體也使用 QWORDS 的堆疊陣列來建構加密字串及其對應的 XOR 金鑰,為其混淆策略增加另一層複雜度 [1]。
這些技術讓人聯想到其他惡意程式載入器中所使用的進階規避手法。例如,QuirkyLoader 採用控制流操作、使用 SIMD 暫存器存放區域變數,以及插入無效指令來阻礙反組譯器。它還使用位元 XOR 解密與獨特的 8 位元組金鑰來進行字串解密 [2]。這類相似之處突顯了惡意程式開發中,朝向更強大且動態的混淆方法的整體趨勢。
2.2 Command-line 參數
與許多勒索軟體家族一樣,Payouts King 支援使用 command-line 參數來控制其功能。然而,這些參數是使用自訂的 CRC checksum 函式進行混淆。ThreatLabz 成功確定了這些 checksum 值所對應的原始字串參數。下表彙總了關鍵的 command-line 參數 [1]:
| CRC Checksum | 參數 | 描述 |
|---|---|---|
0x40e9525
|
-backup
|
在執行檔案加密時使用備份檔案。 |
0xf7fc5542
|
-noelevate
|
不要嘗試提升權限。 |
0xd0956b64
|
-nohide
|
不要隱藏視窗。 |
0xc66b13e4
|
-i [string]
|
識別碼(用於驗證)。 |
0xc66d24e4
|
-log [filename]
|
記錄檔路徑。 |
0x2d617286
|
-mode [all, local, share]
|
加密模式(加密所有檔案、本機磁碟或網路共享)。 |
0xe7ef1cf4
|
-note
|
將勒索訊息寫入磁碟。 |
0x3659830f
|
-path [path]
|
從指定路徑開始加密檔案。 |
0x115feaa8
|
-percent [integer]
|
加密檔案內容的百分比。 |
0x3c145344
|
-nopersist
|
不建立持久性機制。 |
0x7a50b8b4
|
-time [seconds]
|
開始加密檔案前的延遲秒數。 |
一個關鍵的反沙箱規避技術是:要求必須提供具有特定 CRC checksum 值的
-i
參數,才能繼續執行檔案加密。這可以防止勒索軟體在沙箱環境中執行其完整的 Malicious payload [1]。
2.3 持久性與權限提升
Payouts King 使用 Windows 排程工作來建立持久性機制並提升權限。如果未指定
-nopersist
參數,勒索軟體會建立名為
\Mozilla\UpdateTask
的排程工作,使其在系統啟動時執行,確保在重新開機後仍能執行 [1]。
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN \Mozilla\UpdateTask /TR "<path_to_payouts_king.exe>"
在權限提升方面,如果未使用
-noelevate
參數,Payouts King 會排程另一個工作
\Mozilla\ElevateTask
,以 SYSTEM 使用者權限執行。這是透過建立兩個 pipes 來處理標準輸入/輸出,啟動
cmd.exe
,並透過 pipe 寫入
schtasks.exe
指令來達成。成功提升權限後,勒索軟體會立即執行並刪除該提升權限的工作,以移除鑑識證據 [1]。
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN \Mozilla\ElevateTask /TR "<path_to_payouts_king.exe>"
這種使用排程工作來達成持久性與權限提升的方法是惡意程式常見的手法,如同 TransferLoader 也會修改 registry 鍵值(例如使用 COM hijacking)來維持持久性 [3]。以 SYSTEM 權限執行讓勒索軟體能對受感染的系統擁有廣泛的控制能力。
2.4 檔案加密
Payouts King 勒索軟體採用強大的混合加密機制,結合了用於金鑰交換的 4,096 位元 RSA 以及用於檔案加密的 256 位元 AES 計數器模式 (CTR) 。加密過程使用靜態連結的 OpenSSL 函式庫。每個檔案都使用獨特的 pseudorandom 金鑰與 nonce 進行加密 [1]。
加密檔案的結構設計為儲存 AES 加密的資料,後面接著 RSA 加密的檔案加密參數。RSA 加密的參數包含一個 487 位元組的結構,其中儲存了解密所需的關鍵資訊 [1]。
graph TD
A[原始檔案] --> B{"AES 加密 (CTR 模式)"}
B --> C[AES 加密資料]
D[Pseudorandom AES 金鑰與 Nonce] --> E{"RSA 加密 (4096-bit)"}
E --> F["RSA 加密參數 (487 位元組)"]
C & F --> G[加密檔案]
圖 1:Payouts King 檔案加密程序流程
在勒索軟體中使用 AES CTR 模式特別有效,因為它允許並行加密檔案區塊,從而加快加密過程。結合強大的 RSA 加密來保護金鑰,確保沒有私有 RSA 金鑰的情況下,要復原檔案在計算上是不可行的。
3. 結論
Payouts King 勒索軟體在當前的網路安全環境中構成重大威脅,展現了既有的與先進技術的結合。其使用自訂 CRC checksums 與獨特的 FNV1 hash seeds 進行進階混淆,再加上應用堆疊的字串加密,對傳統的偵測方法構成相當大的挑戰。策略性運用 command-line 參數來反沙箱規避,以及依賴 Windows 排程工作來達成持久性與權限提升,凸顯出其精心設計的操作方法論。
採用混合加密機制(使用 4,096 位元 RSA 與 256 位元 AES CTR 模式)確保了強大的資料機密性,使得沒有解密金鑰的情況下幾乎不可能復原檔案。與其他先進惡意程式(如 QuirkyLoader 和 TransferLoader)的技術相似之處,強調了惡意程式開發的持續演進,其中模組化、強大的規避能力以及去中心化的基礎設施正逐漸成為標準。對此類威脅的有效防禦需要多層次的安全方法,包括進階的行為分析、主動式威脅情資以及嚴格的端點防護措施。