1??????? 概述

近期，安天CERT（CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)現(xiàn)多起B(yǎng)lackCat[1]勒索軟件攻擊事件。BlackCat勒索軟件又名ALPHV或Noberus，被發(fā)現(xiàn)于2021年11月，其背后的攻擊組織基于勒索軟件即服務(wù)（RaaS）商業(yè)模式運營，于2023年2月21日發(fā)布了名為“Sphynx”的2.0版本[2]，主要通過網(wǎng)絡(luò)釣魚、漏洞利用和獲取的憑證實現(xiàn)對受害系統(tǒng)的初始訪問，具有內(nèi)網(wǎng)傳播功能，在執(zhí)行加密載荷之前，會竊取受害系統(tǒng)中的數(shù)據(jù)，加密載荷使用AES或ChaCha組合RSA算法對文件進行加密，暫未發(fā)現(xiàn)公開的解密工具。

BlackCat勒索軟件背后的攻擊組織采用“竊取數(shù)據(jù)+加密文件”雙重勒索策略，在此基礎(chǔ)上增加騷擾或DDoS攻擊威脅，構(gòu)成多重勒索，也存在“不加密只勒索”的情況，是當前勒索軟件攻擊組織轉(zhuǎn)變勒索模式的趨勢之一。較之數(shù)據(jù)加密而言，數(shù)據(jù)曝光的威脅將給部分受害企業(yè)帶來更大的壓力。因此，一些攻擊組織在保留勒索軟件加密文件機制的同時，開始向其加入竊取數(shù)據(jù)的能力。被加密的數(shù)據(jù)存在被恢復(fù)的可能，一旦被泄露所造成的影響是難以估量的，例如產(chǎn)品配方、設(shè)計圖紙和合作協(xié)議等機密文件。自2021年11月30日起，BlackCat勒索軟件背后的攻擊組織在Tor網(wǎng)站專用數(shù)據(jù)泄露站點（DLS）陸續(xù)發(fā)布受害者信息和竊取到的數(shù)據(jù)，截至2023年7月3日，其DLS中存在434名受害者信息，實際受害者數(shù)量遠超過這個數(shù)字，這部分內(nèi)容是未滿足受害者需求或新添加的受害者信息，及從受害者系統(tǒng)中竊取到的數(shù)據(jù)。攻擊者在需求被滿足或出于其他原因，會移除受害者信息和竊取到的數(shù)據(jù)。

BlackCat勒索軟件與已經(jīng)退出勒索軟件市場的REvil、DarkSide和BlackMatter勒索軟件存在一定關(guān)聯(lián)[3]，是第一個使用Rust編程語言開發(fā)跨平臺攻擊載荷的勒索軟件[4]，其載荷支持在Windows、Linux和VMware ESXi系統(tǒng)上執(zhí)行。加密載荷需通過特定Access Token參數(shù)執(zhí)行，未獲得Access Token參數(shù)則無法執(zhí)行載荷文件，目的是阻礙安全研究人員和沙箱工具對載荷進行分析。

表 1?1 BlackCat勒索軟件概覽

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對該勒索軟件的有效查殺。

2??????? 防護建議

應(yīng)對勒索軟件攻擊，安天建議個人及企業(yè)采取如下防護措施：

2.1??????? 個人防護

1.??????? 提升網(wǎng)絡(luò)安全意識：保持良好用網(wǎng)習(xí)慣，積極學(xué)習(xí)網(wǎng)絡(luò)安全相關(guān)知識；

2.??????? 安裝終端防護：安裝反病毒軟件。建議安天智甲用戶開啟勒索病毒防御工具模塊（默認開啟）；

3.??????? 加強口令強度：避免使用弱口令，建議使用16位或更長的密碼，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個服務(wù)器使用相同口令；

4.??????? 定期更改口令：定期更改系統(tǒng)口令，避免出現(xiàn)口令泄露導(dǎo)致系統(tǒng)遭到入侵；

5.??????? 及時更新補?。航ㄗh開啟自動更新安裝系統(tǒng)補丁，服務(wù)器、數(shù)據(jù)庫、中間件等易受攻擊部分應(yīng)及時更新系統(tǒng)補??；

6.??????? 關(guān)閉高危端口：對外服務(wù)采取最小化原則，關(guān)閉135、139、445和3389等不用的高危端口；

7.??????? 關(guān)閉PowerShell：如不使用PowerShell命令行工具，建議將其關(guān)閉；

8.??????? 定期數(shù)據(jù)備份：定期對重要文件進行數(shù)據(jù)備份，備份數(shù)據(jù)應(yīng)與主機隔離。

2.2??????? 企業(yè)防護

1.??????? 網(wǎng)絡(luò)安全培訓(xùn)與安全演練：定期開展網(wǎng)絡(luò)安全培訓(xùn)與安全演練，提高員工網(wǎng)絡(luò)安全意識；

2.??????? 安裝終端防護：安裝反病毒軟件，針對不同平臺建議安裝安天智甲終端防御系統(tǒng)；

3.??????? 及時更新補?。航ㄗh開啟自動更新安裝系統(tǒng)補丁，服務(wù)器、數(shù)據(jù)庫、中間件等易受攻擊部分應(yīng)及時更新系統(tǒng)補?。?/p>

4.??????? 開啟日志：開啟關(guān)鍵日志收集功能（安全日志、系統(tǒng)日志、PowerShell日志、IIS日志、錯誤日志、訪問日志、傳輸日志和Cookie日志），為安全事件的追蹤溯源提供基礎(chǔ)；

5.??????? 設(shè)置IP白名單規(guī)則：配置高級安全Windows防火墻，設(shè)置遠程桌面連接的入站規(guī)則，將使用的IP地址或IP地址范圍加入規(guī)則中，阻止規(guī)則外IP進行暴力破解；

6.??????? 主機加固：對系統(tǒng)進行滲透測試及安全加固；

7.??????? 部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對勒索軟件的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測分析對象，能精準檢測出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅；

8.??????? 災(zāi)備預(yù)案：建立安全災(zāi)備預(yù)案，安全事件發(fā)生時確保備份業(yè)務(wù)系統(tǒng)可以快速啟用；

9.??????? 安天服務(wù)：若遭受勒索軟件攻擊，建議及時斷網(wǎng)，并保護現(xiàn)場等待安全工程師對計算機進行排查。安天7*24小時服務(wù)熱線：400-840-9234。

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對該勒索軟件的有效查殺。

圖 2?1 安天智甲可實現(xiàn)對該勒索軟件的有效查殺

3??????? 近期數(shù)據(jù)泄露案例

自2021年11月30日起，BlackCat勒索軟件背后的攻擊組織在Tor網(wǎng)站專用數(shù)據(jù)泄露站點（DLS）陸續(xù)發(fā)布受害者信息和竊取到的數(shù)據(jù)，截至2023年7月3日，其DLS中存在434名受害者信息。

以下為近期BlackCat勒索軟件背后攻擊組織發(fā)布的部分受害者及數(shù)據(jù)泄露信息。

3.1??????? 墨西哥飲料公司Coca-Cola FEMSA

攻擊者于2023年6月10日，更新了置于其DLS的墨西哥飲料公司Coca-Cola FEMSA相關(guān)信息。攻擊者已公開兩部分數(shù)據(jù)Part_1和Part_2，示例圖片內(nèi)容為Coca-Cola FEMSA公司與合作公司的訂單信息、交易合同和利潤分成合同等文件。

圖 3?1 受害者Coca-Cola FEMSA信息

3.2??????? 比利時門禁設(shè)備制造公司Automatic Systems

攻擊者于6月12日，更新了置于其DLS的比利時門禁設(shè)備制造公司Automatic Systems相關(guān)信息。攻擊者聲稱竊取到的文件包括但不限于Automatic Systems公司員工與客戶個人信息、產(chǎn)品設(shè)計圖紙和業(yè)務(wù)數(shù)據(jù)等文件，還有與北約組織簽訂的協(xié)議和計劃等文件。示例圖片內(nèi)容為Automatic Systems公司員工個人身份信息、合作公司的訂單信息、合同和保密協(xié)議等文件。

圖 3?2 受害者Automatic Systems信息

其中發(fā)現(xiàn)與Alibaba公司的保密協(xié)議文件。

圖 3?3 關(guān)于Alibaba相關(guān)文件

3.3??????? 安哥拉共和國國家石油公司Sonangol

攻擊者于6月15日，更新了置于其DLS的安哥拉共和國國家石油公司Sonangol相關(guān)信息，以及從該公司竊取到的210GB數(shù)據(jù)，包括Sonangol公司的員工信息、財務(wù)文件和醫(yī)學(xué)系統(tǒng)等相關(guān)文件。

攻擊者警告受害者“在72小時內(nèi)與其聯(lián)系，如果逾期則會公布所有數(shù)據(jù)，并向所有有關(guān)人員發(fā)送有關(guān)此次數(shù)據(jù)泄露的電子郵件，包括供應(yīng)商、承包商和員工等人”。

圖 3?4 受害者Sonangol信息

3.4??????? 美國社交新聞網(wǎng)站Reddit

攻擊者于6月17日，更新了置于其DLS的美國社交新聞網(wǎng)站Reddit相關(guān)信息。攻擊者聲稱于2023年2月5日入侵到Reddit的系統(tǒng)中，事件起因是Reddit員工遭受具有針對性的網(wǎng)絡(luò)釣魚攻擊[5]，攻擊者竊取了80GB壓縮后的數(shù)據(jù)，并向Reddit發(fā)送了兩次電子郵件，分別是4月13日和6月16日，但均未收到回復(fù)。攻擊者想要450萬美元作為贖金，并且要求Reddit撤回他們最近關(guān)于API定價上調(diào)的決定。

圖 3?5 受害者Reddit信息

3.5??????? 美國能源服務(wù)公司Mammoth Energy

攻擊者于6月19日，更新了置于其DLS的美國能源服務(wù)公司Mammoth Energy相關(guān)信息，攻擊者聲稱對該公司網(wǎng)絡(luò)設(shè)施已經(jīng)加密，并從公司內(nèi)部竊取了大量數(shù)據(jù)，包括數(shù)據(jù)庫文件、Dynamics GP文件和私人文件。

圖 3?6 受害者Mammoth Energy信息

4??????? 載荷功能與技術(shù)梳理

BlackCat勒索軟件載荷通過Rust編程語言編寫，執(zhí)行載荷需要一個特定的Access Token參數(shù)，從而解密獲取寫入勒索載荷文件中的加密配置文件。配置文件為攻擊者入侵受害系統(tǒng)后，根據(jù)受害系統(tǒng)實際情況而設(shè)定的文件內(nèi)容，配置文件中包括要停止的服務(wù)和進程列表，跳過加密的白名單目錄、文件和文件擴展名列表等內(nèi)容。未獲得Access Token參數(shù)則無法執(zhí)行載荷文件，目的是阻礙安全研究人員和沙箱工具對載荷進行分析。

圖 4?1 配置文件內(nèi)容

以下為配置文件內(nèi)包含的選項及簡要描述：

表 4?1 配置文件選項及簡要描述

BlackCat勒索軟件載荷執(zhí)行需通過特定參數(shù)。

圖 4?2 通過參數(shù)執(zhí)行載荷

其中Access Token參數(shù)為解密載荷內(nèi)置配置信息的密鑰，若該參數(shù)不正確則無法執(zhí)行載荷，以此避免沙箱等自動化分析系統(tǒng)的檢測，同時避免配置信息被提取。

圖 4?3 通過Access Token解密配置文件

利用COM API繞過用戶賬戶控制（UAC），從而實現(xiàn)提權(quán)。

圖 4?4 利用COM提權(quán)

查看受害系統(tǒng)ARP緩存信息，獲取當前計算機上已解析的IP地址和對應(yīng)的MAC地址。

圖 4?5 獲取ARP信息

利用vssadmin.exe刪除卷影副本，避免用戶通過還原卷影恢復(fù)被加密的文件。

圖 4?6 利用vssadmin.exe刪除卷影副本

利用wmic.exe刪除卷影副本，避免用戶通過還原卷影恢復(fù)被加密的文件。

圖 4?7 利用wmic.exe刪除卷影副本

利用bcdedit禁用系統(tǒng)自動恢復(fù)功能，并設(shè)置為帶有網(wǎng)絡(luò)支持的安全模式啟動。

圖 4?8 禁用修復(fù)并以安全模式啟動

調(diào)用wevtutil.exe清除日志，避免用戶通過日志發(fā)現(xiàn)入侵的相關(guān)信息。

圖 4?9 清除日志

結(jié)束配置文件中指定的服務(wù)，避免勒索軟件載荷執(zhí)行過程中受到影響。

圖 4?10 結(jié)束特定服務(wù)

結(jié)束配置文件中指定的進程，避免勒索軟件載荷執(zhí)行過程中受到影響。

圖 4?11 結(jié)束特定進程

在受害系統(tǒng)中創(chuàng)建服務(wù)以實現(xiàn)持久化。

圖 4?12 創(chuàng)建服務(wù)實現(xiàn)持久化

將帶有勒索提醒內(nèi)容的特定圖片設(shè)定為桌面背景文件。

圖 4?13 修改桌面背景

將代碼中的特定字符串拼接成勒索信內(nèi)容。

圖 4?14 拼接勒索信內(nèi)容

生成名為“RECOVER-(配置文件中設(shè)定的后綴名)-FILES.txt”的勒索信，例如“RECOVER-locked-FILES.txt”。

圖 4?15 設(shè)置勒索信名稱

5??????? 事件對應(yīng)的ATT&CK映射圖譜

事件對應(yīng)的技術(shù)特點分布圖：

圖 5?1 技術(shù)特點對應(yīng)ATT&CK的映射

具體ATT&CK技術(shù)行為描述表：

表 5?1 ATT&CK技術(shù)行為描述表

6??????? IoCs

參考資料

[1]???? 2022年流行勒索軟件盤點

https://www.antiy.cn/research/notice&report/research_report/20230130.html

[2]???? ALPHV ransomware group informed their affiliates of a new 'product' update.

https://twitter.com/vxunderground/status/1649094229413761030

[3]???? BlackCat Ransomware (ALPHV)

https://www.varonis.com/blog/blackcat-ransomware

[4]???? FBI Releases IOCs Associated with BlackCat/ALPHV Ransomware

https://www.cisa.gov/news-events/alerts/2022/04/22/fbi-releases-iocs-associated-blackcatalphv-ransomware

[5]???? We had a security incident. Here’s what we know.

https://www.reddit.com/r/reddit/comments/10y427y/we_had_a_security_incident_heres_what_we_know/

?