探究BlackBit勒索內(nèi)幕，揭秘TrustOne如何對(duì)抗暴力破解攻擊

2023-10-19 15:39 作者:亞信安全 0人讀過(guò) | 我要投稿

當(dāng)勒索軟件具備了如下特征

持久化作戰(zhàn)能力

高隱蔽性

逃避檢測(cè)能力

損害系統(tǒng)恢復(fù)能力

帶來(lái)的后果

可能是 毀滅性 的

它就是BlackBit！

何為BlackBit？

BlackBit勒索軟件最早于2022年9月首次被發(fā)現(xiàn)。與其它勒索不同的是，其在成功入侵主機(jī)后，攻擊者沒(méi)有執(zhí)行數(shù)據(jù)泄露、權(quán)限提升和橫向移動(dòng)等動(dòng)作，而是專注于釋放和執(zhí)行勒索軟件。BlackBit勒索軟件的源代碼與Loki Locker相似，除了在被加密的文件圖標(biāo)、名稱和圖標(biāo)的配色方案等方面有了一些改進(jìn)之外，其還采用了.NET Reactor保護(hù)程序的方式來(lái)阻礙安全研究人員的分析。

該勒索在加密文件前做足充分準(zhǔn)備，首先其會(huì)將自身復(fù)制到多個(gè)文件夾目錄下，并創(chuàng)建計(jì)劃任務(wù)以保證持久運(yùn)行；然后終止可能會(huì)影響加密文件的進(jìn)程和服務(wù)，刪除卷影副本和系統(tǒng)備份。通過(guò)禁用防火墻以及Windows Defender安全防護(hù)功能逃避檢測(cè)。

在加密過(guò)程中，其通過(guò)CPGenKey函數(shù)將生成的隨機(jī)密鑰經(jīng)過(guò)RSA加密算法加密后再去對(duì)文件數(shù)據(jù)進(jìn)行加密，同時(shí)還會(huì)更改加密文件的名稱及其默認(rèn)圖標(biāo)，設(shè)置新的桌面背景圖像，并創(chuàng)建名為“info.hta”和“Restore-My-Files.txt”的勒索信息文件。加密文件的新名稱格式為“ [攻擊者郵件地址][唯一系統(tǒng) ID][原始文件名].BlackBit ”。

BlackBit勒索軟件攻擊流程

BlackBit家族通常是利用RDP暴力破解獲取對(duì)目標(biāo)機(jī)器的初始訪問(wèn)權(quán)限。RDP暴力破解（RDP brute force）是指攻擊者使用自動(dòng)化工具或腳本，嘗試使用各種可能的用戶名和密碼組合登錄遠(yuǎn)程桌面協(xié)議（Remote Desktop Protocol, RDP）服務(wù)的過(guò)程。攻擊者通過(guò)嘗試多個(gè)用戶名和密碼組合，來(lái)獲取未經(jīng)授權(quán)的訪問(wèn)權(quán)限，然后進(jìn)一步入侵受害者的系統(tǒng)或網(wǎng)絡(luò)。

攻擊者可以使用多種方式進(jìn)行RDP暴力破解攻擊，例如使用常見(jiàn)的用戶名和密碼列表，或使用字典攻擊工具自動(dòng)生成密碼組合。這種攻擊方式對(duì)于那些使用弱密碼或默認(rèn)憑據(jù)的系統(tǒng)來(lái)說(shuō)尤其危險(xiǎn)，因?yàn)楣粽呖梢院苋菀椎赝ㄟ^(guò)RDP暴力破解來(lái)獲取訪問(wèn)權(quán)限。一旦BlackBit勒索軟件成功進(jìn)入系統(tǒng)，它會(huì)加密主機(jī)上的文件，并勒索高額的贖金。

【BlackBit勒索攻擊流程】

亞信安全產(chǎn)品解決方案

亞信安全新一代終端安全TrustOne

亞信安全新一代終端安全TrustOne的檢測(cè)響應(yīng)（EDR）模塊，通過(guò)高清的日志記錄作為基礎(chǔ)，結(jié)合威脅情報(bào)，IOA規(guī)則關(guān)聯(lián)分析和平臺(tái)側(cè)的大數(shù)據(jù)智能算法和可見(jiàn)性設(shè)計(jì)，可以對(duì)暴力破解等多種攻擊進(jìn)行實(shí)時(shí)檢測(cè)，并且自動(dòng)化對(duì)暴力破解攻擊IP進(jìn)行網(wǎng)絡(luò)封停。網(wǎng)絡(luò)封停支持配置自動(dòng)響應(yīng)的時(shí)間段，即生效周期和生效時(shí)間，支持設(shè)置封停時(shí)長(zhǎng)。自動(dòng)封停后的 IP 記錄在封停列表，封停時(shí)長(zhǎng)過(guò)后自動(dòng)解封。