情报背景
ALPHV是首次发现于2021年11月的勒索软件团伙,也是唯一使用Rust作为主要开发语言的活跃勒索软件。该团伙充分利用了Rust语言的跨平台特性,使其载荷支持包括Windows、Linux、ESXi在内的各平台。Forescout的研究人员对其近期攻击行动的研究则揭露了该样本的多个实例会自行通信,共同完成攻击行动。本文将对其利用Rust规避静态检测以及多个实例进程协同攻击的技术手段进行分析研判。
|
组织名称 |
ALPHV |
|
组织别名 |
BlackCat、Noberus |
|
战术标签 |
执行、防御规避 |
|
技术标签 |
新兴语言、自组织、自动化攻击 |
|
情报来源 |
https://www.forescout.com/resources/analysis-of-an-alphv-incident https://www.intrinsec.com/alphv-ransomware-gang-analysis/ https://www.bankinfosecurity.com/ransomware-groups-such-as-blackcat-are-turning-to-rust-a-18507 |
01 攻击技术分析
亮点1:利用Rust跨平台与规避静态检测
利用Rust进行跨平台开发可通过代码复用减少开发成本,通过不同编译选项实现针对各平台的功能剪裁。ALPHV曾出现针对Windows与Linux的变体,本次攻击所出现的变体针对的ESXi平台进行了优化,将glibc等基础库打包在内,并添加了针对ESXi平台定制的功能(内部是对esxcli等工具命令的封装)。
图 针对ESXi的ALPHV变体
以Rust、Golang和Nimlang为代表的新兴语言为攻击者所青睐源于他们所具有共同优势:低开发成本、高运行效率、完全不同的静态特征,以及自带的跨平台特性。相对于开发运用与研究分析都较为成熟的C++程序,基于这些新兴语言所编译的可执行内部结构更加复杂,绕过了针对C++等通用语言设计的静态特征检测规则。相关分析工具适配也还未完善,加大了分析人员进行逆向分析的难度。
亮点2:多实例自组织协同工作
在本次攻击事件出现的ALPHV变体出现了独特的“自组织”能力,同一样本创建的进程实例能够通过启动的先后关系,以不同的角色协同工作。最先启动的实例将作为服务端,监听于61029端口,后续创建的进程实例则将作为客户端与服务端进行通信握手。服务端具备检查客户端存活、下达退出指令的权限,而客户端则可通过指定接口,将自身权限无法执行的任务上交给服务端执行。通过这种特殊机制,同一终端上执行的多个实例能够自发地组织起来,不同权限与执行方式的实例能够共享任务,提高总体的执行效率。
02 总结
以ALPHV为代表的在野恶意软件的涌现,体现了Rust在内的新兴语言在跨平台攻击工具开发方面独特的优势。包括RustyBuer在内的恶意软件家族开始使用Ruby等新兴语言对功能模块进行重构,以达到更好的抵抗静态分析效果。而本次攻击事件中出现的多个实例通过预先的设计协同合作的例子,向研究人员展示了一种可行的自动化攻击组织模式。尽管本案例中“自组织”的范围仅限于本机上的不同进程,但相似的设计理念未尝不适用于更大的自动化攻击场景。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
往期推荐
原文始发于微信公众号(M01N Team):攻击技术研判|具备“自组织”能力的跨平台恶意程序
