概述

近期,安天CERT(CCTGA勒索软件防范应对工作组成员)发现多起BlackCat[1]勒索软件攻击事件。BlackCat勒索软件又名ALPHV或Noberus,被发现于2021年11月,其背后的攻击组织基于勒索软件即服务(RaaS)商业模式运营,于2023年2月21日发布了名为“Sphynx”的2.0版本[2],主要通过网络钓鱼、漏洞利用和获取的凭证实现对受害系统的初始访问,具有内网传播功能,在执行加密载荷之前,会窃取受害系统中的数据,加密载荷使用AES或ChaCha组合RSA算法对文件进行加密,暂未发现公开的解密工具。

BlackCat勒索软件背后的攻击组织采用“窃取数据+加密文件”双重勒索策略,在此基础上增加骚扰或DDoS攻击威胁,构成多重勒索,也存在“不加密只勒索”的情况,是当前勒索软件攻击组织转变勒索模式的趋势之一。较之数据加密而言,数据曝光的威胁将给部分受害企业带来更大的压力。因此,一些攻击组织在保留勒索软件加密文件机制的同时,开始向其加入窃取数据的能力。被加密的数据存在被恢复的可能,一旦被泄露所造成的影响是难以估量的,例如产品配方、设计图纸和合作协议等机密文件。自2021年11月30日起,BlackCat勒索软件背后的攻击组织在Tor网站专用数据泄露站点(DLS)陆续发布受害者信息和窃取到的数据,截至2023年7月3日,其DLS中存在434名受害者信息,实际受害者数量远超过这个数字,这部分内容是未满足受害者需求或新添加的受害者信息,及从受害者系统中窃取到的数据。攻击者在需求被满足或出于其他原因,会移除受害者信息和窃取到的数据。

BlackCat勒索软件与已经退出勒索软件市场的REvil、DarkSide和BlackMatter勒索软件存在一定关联[3],是第一个使用Rust编程语言开发跨平台攻击载荷的勒索软件[4],其载荷支持在Windows、Linux和VMware ESXi系统上执行。加密载荷需通过特定Access Token参数执行,未获得Access Token参数则无法执行载荷文件,目的是阻碍安全研究人员和沙箱工具对载荷进行分析。

表 1‑1 BlackCat勒索软件概览

家族名称

BlackCat(又名ALPHV或Noberus)

出现时间

2021年11月

典型传播方式

通过网络钓鱼、漏洞利用和获取的凭证实现初始访问,具有内网传播功能

典型加密后缀

.(6-7位数字+字母组合随机)

加密算法

AES或ChaCha+RSA

解密工具

暂未发现公开的解密工具

加密系统

Windows、Linux和VMware ESXi

是否双重勒索

勒索信

经验证,安天智甲终端防御系统(简称IEP)可实现对该勒索软件的有效查杀。

02 防护建议

应对勒索软件攻击,安天建议个人及企业采取如下防护措施:

2.1 个人防护

1. 提升网络安全意识:保持良好用网习惯,积极学习网络安全相关知识;

2. 安装终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启);

3. 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

4. 定期更改口令:定期更改系统口令,避免出现口令泄露导致系统遭到入侵;

5. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;

6. 关闭高危端口:对外服务采取最小化原则,关闭135、139、445和3389等不用的高危端口;

7. 关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭;

8. 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离。

2.2 企业防护

1. 网络安全培训与安全演练:定期开展网络安全培训与安全演练,提高员工网络安全意识;

2. 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统;

3. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;

4. 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;

5. 设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解;

6. 主机加固:对系统进行渗透测试及安全加固;

7. 部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对勒索软件的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

8. 灾备预案:建立安全灾备预案,安全事件发生时确保备份业务系统可以快速启用;

9. 安天服务:若遭受勒索软件攻击,建议及时断网,并保护现场等待安全工程师对计算机进行排查。安天7*24小时服务热线:400-840-9234。

经验证,安天智甲终端防御系统(简称IEP)可实现对该勒索软件的有效查杀。

03 近期数据泄露案例

自2021年11月30日起,BlackCat勒索软件背后的攻击组织在Tor网站专用数据泄露站点(DLS)陆续发布受害者信息和窃取到的数据,截至2023年7月3日,其DLS中存在434名受害者信息。

以下为近期BlackCat勒索软件背后攻击组织发布的部分受害者及数据泄露信息。

3.1 墨西哥饮料公司Coca-Cola FEMSA

攻击者于2023年6月10日,更新了置于其DLS的墨西哥饮料公司Coca-Cola FEMSA相关信息。攻击者已公开两部分数据Part_1和Part_2,示例图片内容为Coca-Cola FEMSA公司与合作公司的订单信息、交易合同和利润分成合同等文件。

图 3‑1 受害者Coca-Cola FEMSA信息

3.2 比利时门禁设备制造公司Automatic Systems

攻击者于6月12日,更新了置于其DLS的比利时门禁设备制造公司Automatic Systems相关信息。攻击者声称窃取到的文件包括但不限于Automatic Systems公司员工与客户个人信息、产品设计图纸和业务数据等文件,还有与北约组织签订的协议和计划等文件。示例图片内容为Automatic Systems公司员工个人身份信息、合作公司的订单信息、合同和保密协议等文件。

图 3‑2 受害者Automatic Systems信息

其中发现与Alibaba公司的保密协议文件。

图 3‑3 关于Alibaba相关文件

3.3 安哥拉共和国国家石油公司Sonangol

攻击者于6月15日,更新了置于其DLS的安哥拉共和国国家石油公司Sonangol相关信息,以及从该公司窃取到的210GB数据,包括Sonangol公司的员工信息、财务文件和医学系统等相关文件。

攻击者警告受害者“在72小时内与其联系,如果逾期则会公布所有数据,并向所有有关人员发送有关此次数据泄露的电子邮件,包括供应商、承包商和员工等人”。

图 3‑4 受害者Sonangol信息

3.4 美国社交新闻网站Reddit

攻击者于6月17日,更新了置于其DLS的美国社交新闻网站Reddit相关信息。攻击者声称于2023年2月5日入侵到Reddit的系统中,事件起因是Reddit员工遭受具有针对性的网络钓鱼攻击[5],攻击者窃取了80GB压缩后的数据,并向Reddit发送了两次电子邮件,分别是4月13日和6月16日,但均未收到回复。攻击者想要450万美元作为赎金,并且要求Reddit撤回他们最近关于API定价上调的决定。

图 3‑5 受害者Reddit信息

3.5 美国能源服务公司Mammoth Energy

攻击者于6月19日,更新了置于其DLS的美国能源服务公司Mammoth Energy相关信息,攻击者声称对该公司网络设施已经加密,并从公司内部窃取了大量数据,包括数据库文件、Dynamics GP文件和私人文件。

图 3‑6 受害者Mammoth Energy信息

04 载荷功能与技术梳理

BlackCat勒索软件载荷通过Rust编程语言编写,执行载荷需要一个特定的Access Token参数,从而解密获取写入勒索载荷文件中的加密配置文件。配置文件为攻击者入侵受害系统后,根据受害系统实际情况而设定的文件内容,配置文件中包括要停止的服务和进程列表,跳过加密的白名单目录、文件和文件扩展名列表等内容。未获得Access Token参数则无法执行载荷文件,目的是阻碍安全研究人员和沙箱工具对载荷进行分析。

图 4‑1 配置文件内容

以下为配置文件内包含的选项及简要描述:

表 4‑1 配置文件选项及简要描述

配置选项

描述

配置选项

描述

config_id

ID信息

kill_processes

结束特定进程

public_key

RSA公钥

exclude_directory_names

绕过加密的文件目录

extension

后缀名(字母数字组合)

exclude_file_names

绕过加密的文件名

note_file_name

勒索信文件名

exclude_file_extensions

绕过加密的文件后缀

note_full_text

勒索信全文

exclude_file_path_wildcard

绕过加密的文件路径

note_short_text

用于桌面背景的短勒索信

enable_network_discovery

发现网络环境中其他主机

default_file_mode

文件加密模式

enable_self_propagation

自我传播模式

default_file_cipher

使用特定加密算法

enable_set_wallpaper

修改桌面壁纸

credentials

受害者特定凭证信息

enable_esxi_vm_kill

终止VMware ESXi

kill_services

结束特定服务

strict_include_paths

指定路径

BlackCat勒索软件载荷执行需通过特定参数。

图 4‑2 通过参数执行载荷

其中Access Token参数为解密载荷内置配置信息的密钥,若该参数不正确则无法执行载荷,以此避免沙箱等自动化分析系统的检测,同时避免配置信息被提取。

图 4‑3 通过Access Token解密配置文件

利用COM API绕过用户账户控制(UAC),从而实现提权。

图 4‑4 利用COM提权

查看受害系统ARP缓存信息,获取当前计算机上已解析的IP地址和对应的MAC地址。

图 4‑5 获取ARP信息

利用vssadmin.exe删除卷影副本,避免用户通过还原卷影恢复被加密的文件。

图 4‑6 利用vssadmin.exe删除卷影副本

利用wmic.exe删除卷影副本,避免用户通过还原卷影恢复被加密的文件。

图 4‑7 利用wmic.exe删除卷影副本

利用bcdedit禁用系统自动恢复功能,并设置为带有网络支持的安全模式启动。

图 4‑8 禁用修复并以安全模式启动

调用wevtutil.exe清除日志,避免用户通过日志发现入侵的相关信息。

图 4‑9 清除日志

结束配置文件中指定的服务,避免勒索软件载荷执行过程中受到影响。

图 4‑10 结束特定服务

结束配置文件中指定的进程,避免勒索软件载荷执行过程中受到影响。

图 4‑11 结束特定进程

在受害系统中创建服务以实现持久化。

图 4‑12 创建服务实现持久化

将带有勒索提醒内容的特定图片设定为桌面背景文件。

图 4‑13 修改桌面背景

将代码中的特定字符串拼接成勒索信内容。

图 4‑14 拼接勒索信内容

生成名为“RECOVER-(配置文件中设定的后缀名)-FILES.txt”的勒索信,例如“RECOVER-locked-FILES.txt”。

图 4‑15 设置勒索信名称

05 事件对应的ATT&CK映射图谱

事件对应的技术特点分布图:

图 5‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表 5‑1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

执行

利用命令和脚本解释器

利用命令和指定参数执行载荷

利用API

利用COM API执行提权

利用系统服务

利用系统服务执行载荷

利用Windows管理规范(WMI)

利用wmic执行命令删除卷影

持久化

利用自动启动执行引导或登录

通过创建服务实现持久化

提权

滥用提升控制权限机制

利用COM API绕过UAC

防御规避

混淆文件或信息

对部分代码段进行混淆

修改注册表

创建注册表项实现以服务运行

虚拟化/沙箱逃逸

通过参数执行以避免沙箱分析

发现

发现文件和目录

发现加密/绕过的文件和目录

发现进程

发现进程以实现结束进程

发现系统网络配置

通过ARP命令发现网络配置

发现系统服务

发现系统服务以实现结束服务

横向移动

利用远程服务

利用远程服务实现横向移动

影响

损毁数据

删除系统日志

造成恶劣影响的数据加密

对特定文件进行加密

禁止系统恢复

禁用系统恢复避免数据恢复

禁用服务

停止特定服务避免干扰加密

系统关机/重启

以安全模式重启系统

06 IoCs

MD5

E6732E23B16B8CB5EA4925539C437A04

6FF9900B271090361E63F5242EE4E8B0

2891EC6365B7B0EF90899A35E4F2F747

B00B5EB046FE27F645B2A9B7AECC0205

8F2B7A45A93EE6F4806918AAA99C1B1B

B67FFE5E49ADA7628AE9C32EAA3B4CE3

EE159AFCADC7EB4BA73F72C2F6924DA3

参考资料

[1] 2022年流行勒索软件盘点

https://www.antiy.cn/research/notice&report/research_report/20230130.html

[2] ALPHV ransomware group informed their affiliates of a new "product" update.

https://twitter.com/vxunderground/status/1649094229413761030

[3] BlackCat Ransomware (ALPHV)

https://www.varonis.com/blog/blackcat-ransomware

[4] FBI Releases IOCs Associated with BlackCat/ALPHV Ransomware

https://www.cisa.gov/news-events/alerts/2022/04/22/fbi-releases-iocs-associated-blackcatalphv-ransomware

[5]We had a security incident. Here’s what we know.

https://www.reddit.com/r/reddit/comments/10y427y/we_had_a_security_incident_heres_what_we_know/

声明:本文来自安天集团,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。