关注我们,谨防勒索
曾几何时,你还在为进安全模式,狂按F8而困扰;现在有一款勒索病毒帮你实现了自动化,没错,是勒索病毒!!!!
背景
BlackBasta是今年才出现的勒索家族,它不但有可用于攻击Windows系统的样本,还有专门为ESXi系统设计的Linux版本。Windows版本的BlackBasta在完成第一阶段的准备工作后,会重启系统进入支持网络连接的安全模式,再进行文件加密、勒索信生成等操作
与其它一些勒索家族类似,BlackBasta同样利用了双重勒索方式以提升获得勒索赎金的可能性,如果受害者不交付赎金就会被公开数据。比如在6月下旬攻击了建材巨头可耐福集团后,该勒索软件团伙还公布了一批数据,据称占攻击期间从可耐福集团窃取到的全部文件中的20%
BlackBasta的勒索信内容以硬编码的方式内置在攻击样本中,包括目标公司的ID识别号。奇安信病毒响应中心对捕获到的BlackBasta样本进行分析后发现,每个样本里的公司ID编号均不相同,推测该团伙在针对不同的目标企业发起定向攻击时会生成定制的勒索样本
Windows样本分析
被BlackBasta加密的文件后缀统一修为.basta,样本还会修改壁纸和程序图标,并在被加密文件所在目录留下一份readme.txt文件,用于引导用户前往Tor网站支付赎金。
经过动态调试分析,样本的行为主要可分成两个阶段:
01
一阶段
一阶段主要包括实施勒索攻击前的一系列准备工作,包括卷影副本删除、壁纸修改和服务替换等
删除卷影副本,确保它们不能用于恢复目的:
C:\Windows\SysNative\vssadmin.exedelete shadows /all /quiet
C:\Windows\System32\vssadmin.exedelete shadows /all /quiet
释放文件:
将解密出来的dlaksjdoiwq.jpg和dlaksjdoiwq.jpg释放到%TEMP%目录下:
修改壁纸和图标:
调用RegCreateKeyExW和RegSetValueExW修改.basta后缀图标和壁纸
修改图标:
修改壁纸:
替换Fax服务,删除服务:
创建服务并指定服务程序路径:
被修改后的服务内容:
可见Fax服务对应的映像路径已经被替换成了当前恶意样本所在的路径:
执行命令
禁用Windows修复和恢复功能,并将PC以安全模式启动:
bcdedit/set safeboot network
C:\Windows\System32\bcdedit.exe/set safeboot network
C:\Windows\SysNative\bcdedit.exe/set safeboot network cmd.exe/C shutdown -r -f -t 0
在安全模式下,一些终端防护软件将无法正常运行,因此病毒的许多恶意行为不会被拦截。
02
二阶段
二阶段主要包括以安全模式重启后病毒所执行的一系列勒索操作。
生成勒索信
在以安全模式重启后,病毒会首先重复一阶段删除卷影副本的操作,随后在每个非系统目录下生成一封名为readme.txt的勒索信,告知了支付赎金的Tor地址和用于登录的companyID:
硬编码在程序中的勒索信:
值得注意的是,上述勒索信的内容都以硬编码的方式存放在样本中,包括用于识别目标企业的ID信息(companyid)。对比了两个平台的多个样本后发现,这些样本里内置的企业ID信息均不相同。推测该团伙发动的是有针对性攻击并且会使用定制生成的勒索样本。搜集到的样本companyid信息如下:
加密文件
在生成勒索信后,BlackBasta开始创建多个线程对计算机上的文件进行加密。
值得一提的是,它为自己提供了名为-forcepath的可选启动参数,若在运行时指定该参数为具体的目录路径,则只加密该目录下的所有文件以及子文件,否则将尝试对所有的用户文件进行加密。
BlackBasta使用ChaCha20进行加密,加密密钥是通过C++中rand_s函数生成的,最终会生成一段长度为40字节的16进制密文。
ChaCha20初始化代码:
生成的40字节加密密钥:
其中前32字节用做ChaCha20的加密密钥(Counter),末尾8个字节作为ChaCha20的nonce。
加密密钥的生成过程chacha20_init()如下:
在生成了chacha20加密密钥后,BlackBasta开始对文件内容进行加密。和绝大多数勒索病毒一样,该勒索病毒采用了分段加密的方法,每次加密的数据长度为64个字节。
随后,上述生成的chacha20加密密钥经过RSA加密后和0x00020000一起被添加到加密文件的尾部。
使用的RSA算法:
被加密的文件:
分段加密的位置如下图,可以发现从文件头部开始,每隔128字节加密一段64字节长度的数据,且因为chacha20加密密钥是随机生成的,所以每次加密的结果都不相同:
Linux样本分析
01
参数
与Windows平台下的该家族不同的是,Linux主要针对VmwareESXi系统而设计,默认情况下只加密vmfs目录下的文件。不过和Windows版本一样,Linux版的blackbasta家族同样支持”-forcepath”这个可选启动参数。
启动参数
指定该参数时,仅加密参数指定的目录。如果未给出任何参数,则会默认加密”/vmfs/volumes”目录
当无法找到/vmfs/volumes目录时,程序会报错并退出:
病毒为了提高加密效率,同样采用了多线程加密的方法:
使用chmod命令修改文件权限:
02
加密过程
和Windows版本一样,Linux版本的该家族同样使用了chacha20+RSA进行加密,具体加密过程如下图所示:
chacha20:
RSA初始化加密密钥:
RSA加密过程:
03
生成勒索信
最终生成勒索信内容如下
加密后的目录文件:
与Windows不同的是,由于该勒索病毒的Linux版本主要针对VmwareESXi系统而设计,因此在默认情况下并不会加密除了/vmfs/volumes目录以外的其它文件,也不会修改系统的壁纸和其它设置,仅保留了简单的勒索功能。
传播方式
BlackBasta本身不具有自传播能力,攻击者会使用QakBot网银木马和Coroxy后门将BlackBasta下发到目标机器,并利用PrintNightmare漏洞(CVE-2021-34527)执行权限提升。在攻击前期使用这些木马和后门主要是为了收集目标信息及敏感数据,当时机成熟时再进行横向移动并下发有害的组策略,最终在受害企业多个终端上运行BlackBasta以达到勒索目的。
我们能防!
奇安信天擎、天守目前可对其识别与拦截!只要您的天擎、天守程序正常运行,且养成升级病毒库、升级主程序的好习惯~
天擎运行拦截图
天守运行兰截图
总结
尽管BlackBasta是今年才出现的勒索软件,但截止目前已有超50个企业成为其受害者,其中不乏一些Linux平台的服务器也惨遭黑手。考虑到其相关幕后团伙在攻击中使用定制样本及双重勒索的手法,估计后续还会有更多企业成为其受害者。
网银木马和后门样本通常通过钓鱼邮件来进行传播,奇安信病毒响应中心这里再次提醒各位用户不要轻易点击来路不明的链接,也切莫打开或运行来源可疑的文件,保持系统补丁和安全软件特征库到最新的状态,并尽量连接云查以获得最大的保护。
IoCs:
| 序号 | md5 |
| 1 | 32f17040ddaf3477008d844c8eb98410 |
| 2 | 3f400f30415941348af21d515a2fc6a3 |
| 3 | 267d5c3137d313ce1a86c2f255a835e6 |
| 4 | 998022b70d83c6de68e5bdf94e0f8d71 |
| 5 | a7f57a62caa19b5035ead2969cfa9dd0 |
| 6 | 0165ff14fa840c0074a7ee5108858f8d |
附录: 奇安信病毒响应中心
奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。
奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。
参考链接
原文始发于微信公众号(奇安信病毒响应中心):可以直接自动“F8”进安全模式的勒索病毒
