《天際友盟：勒索軟件系列報告之四-三重勒索軟件BlackCat（2023）（15頁）.pdf》由會員分享，可在線閱讀，更多相關《天際友盟：勒索軟件系列報告之四-三重勒索軟件BlackCat（2023）（15頁）.pdf（15頁珍藏版）》請在三個皮匠報告上搜索。

1、BlackCat 勒索軟件BlackCat 勒索軟件2022-12雙子座實驗室三重勒索軟件 BlackCat勒索軟件系列報告之四BlackCat 勒索軟件目錄CONTENTS01 背景02 簡介03 技術詳情04 關聯組織分析05 TOP10 攻擊國家及行業06 總結及發展趨勢07 附錄3BlackCat 勒索軟件BlackCat 勒索軟件世界經濟論壇發布的2022 年全球網絡安全展望報告顯示，勒索軟件攻擊在全球網絡領導者網絡威脅關心問題中排名第一，成為全球廣泛關注的網絡安全難題。本系列報告正是以當前最為活躍的勒索軟件攻擊為主題展開，聚焦暗網中多個活躍的勒索軟件組織或團伙，梳理各個勒索軟件的發

2、展階段、剖析關鍵技術細節、盤點重大攻擊事件，對勒索軟件組織或團伙進行全面畫像，希望為未來應對勒索軟件攻擊提供有力的參考。前言4BlackCat 勒索軟件背景01簡介02作為2021年底入侵活動最為頻繁的勒索軟件，BlackCat勒索團伙在2022年依然有著不俗的表現。2022年4月，FBI 發布警告稱，BlackCat 勒索軟件在 2021 年 11 月至 2022 年 3 月期間至少被用于攻擊了全球 60 個組織。經統計，截止 2022 年 12 月，BlackCat 暗網泄密網站受害者數量目前已高達 230 個，可見 BlackCat 團伙攻擊頻率持續增加，未來將是針對全球企業的最重要的勒

3、索軟件威脅之一。BlackCat 勒索軟件（又名 AlphaVM、AlphaV 或 ALPHV）于 2021 年 11 月中旬首次被 Malwarehuntertam 研究人員披露（如圖 1），是第一個基于 RUST 語言編寫的專業勒索軟件家族系列，并因其高度定制化和個性化的攻擊而迅速贏得市場。BlackCat于2021年12月初開始在某俄羅斯地下犯罪論壇上推廣（如圖2），通過招募合作組織進而實施勒索攻擊，且合作組織保留 80-90%的贖金份額，其余部分歸 BlackCat 開發者所有，是目前最復雜和技術最先進的勒索軟件圖 1 BlackCat 首次被 Malwarehuntertam 披露5

4、BlackCat 勒索軟件BlackCat 勒索軟件圖 2 BlackCat 在俄語論壇得到推廣圖 3 BlackCat 泄密網站即服務(RaaS)運營商之一。BlackCat 采用三重勒索策略，不僅會加密文件，竊取敏感數據，并且在暗網泄密網站上列出受害者名單（如圖3），迫使受害者繳納贖金；而且倘若受害者未在最后期限支付贖金，還會進行分布式拒絕服務(DDoS)攻擊。最近，BlackCat 采取了更為激進的方式來對受害者進行勒索，其甚至在明網推出了一個新的可搜索被盜數據的網站，這使得該組織的勒索攻擊對受害者極具壓迫性。此外，BlackCat 被認為是現已關停服務的 DarkSide/BlackM

5、atter 勒索團伙的繼任者。2022 年 2 月，BlackCat團伙成員接受 The Record 采訪時表示與 BlackMatter 存在聯系，但并未證實是其復用。但這也從側面反映，BlackCat 大概率具有大量的網絡和勒索軟件操作經驗。6BlackCat 勒索軟件圖 4 BlackCat 贖金票據與很多勒索軟件不同，BlackCat 采用 Rust 語言編寫，這是 BlackCat 的一個主要賣點。Rust 是一種更安全的跨平臺編程語言，能夠進行并發處理。通過利用此編程語言，攻擊者能夠輕松地針對 Windows 和 Linux 等各種操作系統架構對其進行編譯，這有助于該勒索軟件快速

6、傳播。同時由于 RUST 提供了眾多自主開發的選項，通過命令行調用的 BlackCat 可實現更具個性化的攻擊。作為一個 RaaS 有效負載，BlackCat 進入目標組織網絡的方式同樣取決于部署它的 RaaS 附屬機構。以往活動中，BlackCat 勒索軟件通常利用網絡釣魚郵件進行傳播。郵件包含惡意附件或下載鏈接，文件形式不限于 Microsoft Office 文檔、可執行文件、JavaScript 等。此外，Microsoft Exchange Server 漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065 和

7、CVE-2021-31207）也是 BlackCat 勒索軟件獲取初始訪問權限的常見入口點。成功獲取初始訪問權限后，BlackCat 主要借助第三方工具集（如 Cobalt Strike）進行交付，然后再使用嵌入式 PsExec 模塊自行橫向傳播。在執行 BlackCat 勒索軟件之前，攻擊者會使用各種批處理腳本來準備加密環境。之后，惡意軟件將從注冊表中獲取 Windows 系統的 MachineGuid（操作系統安裝期間生成的唯一密鑰）及其 UUID，然后繼續繞過用戶帳戶控制(UAC)、刪除卷影備份、修改引導加載程序、清除 Windows 事件日志并啟動加密過程。BlackCat 采用 RS

8、A+AES/ChaCha20 兩種方式加密磁盤文件，加密后文件擴展名為“.7dulptm”。最后釋放贖金票據文件：“RECOVER-7dulptm-FILES”（如圖 4），該內容指示受害者們訪問 Tor 鏈接。3.1 開發語言3.2 攻擊過程技術詳情037BlackCat 勒索軟件BlackCat 勒索軟件圖 5 BlackCat 命令行參數目前該勒索軟件尚未有解密方式，贖金為 40 萬到數百萬美元不等，受害者可選擇比特幣和門羅幣兩種支付方式。但是，如果受害者使用比特幣支付贖金，則需額外支付 15%的費用。BlackCat 在整個攻擊過程中使用了多個工具，包括遠程控制工具 Cobalt St

9、rike，用于恢復存儲密碼的Mimikatz、LaZagne 和 WebBrowserPassView，以 及 竊 取 數 據 的 GO Simple Tunnel(GOST)、MEGAsync 和ExMatter。此外，在一些 BlackCat 勒索軟件活動中，攻擊者還被觀察到利用了諸如 fileshredder 之類的反取證工具。1、個性化操作BlackCat 完全通過命令行進行操作，支持多種細節配置（如圖5），允許自定義文件擴展名、贖金說明、加密模式。其自帶一個加密配置，包含要終止的服務/進程列表、避免加密的目錄/文件/文件擴展名列表以及來自受害者環境的被盜憑證列表以實現持久化。它會刪除

10、所有卷影副本，使用 CMSTPLUA COM 接口執行權限提升，并在受害者機器上啟用“遠程到本地”和“遠程到遠程”鏈接。2、靈活加密根據官方說明，BlackCat 勒索軟件支持四種加密模式。但據 SentinelLabs 研究員 Aleksandar Milenkoski 對BlackCat 勒索軟件樣本進行逆向分析得出其加密模式實際存在 6 種，具體描述如下表：3.3 利用工具3.4 攻擊特點8BlackCat 勒索軟件通過對部署 BlackCat 勒索軟件的關聯威脅組織進行分析，目前至少有兩個已知的附屬機構正在使用 BlackCat，分別是 DEV-023 和 DEV-0504 組織。DE

11、V-0237 也稱為 FIN12，該組織以傳播 Hive、Conti 和 Ryuk 勒索軟件而聞名，但從 2022 年 3 月開始便將 BlackCat 加入了其有效負載清單。DEV-0504 組織此前則主要部署 Ryuk、REvil、LockBit2.0、BlackMatter 和 Conti 勒索軟件，現如今也被觀察到轉向使用 BlackCat 勒索軟件。此外，值得注意的是，BlackCat 和 LockBit 勒索團伙使用的工具和基礎設施之間存在重疊。這似乎表明網絡罪犯會共享代碼和工具，或是攻擊者同時參與了兩個勒索軟件的開發。BlackCat 支持 2 種文件加密算法，包括：ChaCha

12、20 和 AES。在自動模式下，BlackCat 勒索軟件將檢測是否存在 AES 硬件支持(存在于所有現代處理器中)并使用它。如果不支持 AES，則利用 ChaCha20 進行加密。3、壓迫性策略如前文所說，BlackCat 采用三重勒索策略，不僅會加密文件，竊取敏感數據，甚至可能對受害者系統發起DDoS 攻擊以迫使其繳納贖金。其中，DDoS 是利用一批受控制的僵尸主機向一臺服務器主機發起的攻擊，其攻擊強度、造成的威脅、破壞性巨大。同時，DDoS 攻擊溯源難度大，訛詐成本低，正逐漸成為犯罪團伙的首選勒索手段。除了 BlackCat 勒索軟件，Avaddon、REvil、AvosLocker 和

13、 Suncrypt 等勒索軟件犯罪團伙頻繁利用 DDoS 攻擊勒索受害者。例如，REvil 模仿者向數家 VOIP 服務提供商發起了全球性 DDoS 勒索攻擊活動。其中一家 VOIP 服務提供商稱，DDoS 攻擊導致其收入損失 900 萬至 1200 萬美元。目前來說，想要逃避 DDOS 攻擊基本不可能，三重勒索甚至四重勒索將是未來勒索攻擊的大勢所驅。加密模式描述Full全文加密；最安全，最慢HeadOnlyN/Fast僅加密文件前 N 字節；最不安全的解決方案，但速度最快DotPatternN,Y每隔 Y 字節步數加密 N 字節SmartPatternN,P加密文件的前 N 個字節，其余部分

14、劃分為大小相等的塊，這樣每個塊占文件大小的10%，再加密每個塊字節的 P%；速度/密碼強度比的最優模式AdvancedSmartPatternN,P,B加密文件的前 N 個字節，其余部分劃分為 B 字節大小相等的塊，再加密每個塊字節的 P%Auto根據文件類型和大小選擇最優的(速度/安全方面)策略來處理文件。關聯組織分析049BlackCat 勒索軟件BlackCat 勒索軟件通過對 BlackCat 勒索組織泄密網站的受害者名單進行統計，其 Top10 攻擊國家如下：BlackCat 勒索組織似乎偏愛美國企業。其中，歐洲和亞太地區的組織也是其主要攻擊對象。BlackCat 勒索組織 Top1

15、0 攻擊行業如下：金融、專業服務、法律服務等行業依次為 BlackCat 勒索組織重點關注領域。Top10 攻擊國家及行業05圖 6 Top10 攻擊國家圖 7 Top10 攻擊行業意大利英國建筑加拿大能源和公用事業德國汽車意大利制造法國教育中國香港印度澳大利亞材料美國專業服務法律服務技術金融10BlackCat 勒索軟件BlackCat 勒索軟件采用非傳統編程語言，可使攻擊者更加輕松地將其部署在 Windows 和 Linux 以及 VMWare等多種設備之上并進行定制化攻擊，未來可能會有越來越多的威脅組織將轉向使用具有交叉編譯功能的語言。同時，不同威脅組織在攻擊活動中對 BlackCat

16、勒索軟件的關聯使用也證明該類勒索病毒正變得流行。此外，BlackCat 人員與 DarkSide/BlackMatter 前勒索團伙存在的淵源表明其幕后的行為者似乎經驗豐富，其采用三重勒索策略并不斷推出更具壓迫性的勒索策略將使受害者繳納贖金的概率大幅上升，BlackCat 團伙未來仍將成為勒索軟件市場的主要參與者之一。雖然 BlackCat 目前重點攻擊國外用戶，但國內用戶也應加強防范，規避此類風險。防范：防止勒索軟件攻擊的最佳時間在入侵發生之前，因此，建議采用主動安全防御策略：1、做好資產梳理與分級分類管理。建立完整的資產清單，識別內部系統與外部第三方系統間的連接關系，尤其是域合作伙伴共享控

17、制的區域，降低勒索軟件從第三方系統進入的風險；2、嚴格訪問控制策略。創建防火墻規則，僅允許特定的 IP 地址訪問；限制可使用 RDP 的用戶為特權用戶；設置訪問鎖定策略，調整賬戶鎖定閾值與鎖定持續時間等配置；為管理員級別和更高級別設置的賬戶實施基于時間的訪問；3、做好身份驗證管理。設置復雜密碼，并保持定期更換登錄口令習慣；多臺機器，切勿使用相同的賬號和口令；啟用多因素身份驗證(MFA)；4、及時更新系統補丁，定期檢查、修補系統漏洞，尤其針對高?；?0day 漏洞；5、備份重要數據和系統。在物理上獨立安全的位置（即硬盤驅動器、存儲設備、云）維護和保留敏感或專有數據的多個副本。檢測：檢測為勒索軟件

18、體系化防護的事中階段，該階段勒索軟件已滲透到系統內部，但還未大規模爆發。通過應用有效的檢測手段，能夠降低勒索軟件爆發所產生影響。1、共享威脅情報。使用網絡安全設備或組件阻斷相關指示器；使用沙盒分析來阻止惡意文件執行；7.1 防護體系建設總結及發展趨勢06附錄0711BlackCat 勒索軟件BlackCat 勒索軟件SHA256：67d1f4077e929385cfd869bf279892bf10a2c8f0af4119e4bc15a2add9461fec0a609fa2db910615b2c1ad235ca46562ff4034800c44802a63a28826669a7eeecda37b

19、13d1fdee1b4262b5a6146a35d8fc88fa572e55437a47a950037cc65d40bacedbb23254934b736a9daf6de52620c9250a49686d519ceaf0a8d25da0a97f47affaed55d85e1ebe29cf6784da7e9cdbd86020df8b2e9162a0b1a67f092dcd65dbafe9963cb15ce3406de50e007408de7d12c98668de5da10386693aa6cd73060ca3f63f38b7804420729cde3fc30d126c2a0ffc0104b8e6

20、98f78edab96767SHA1：9373f26b9c872047a1befd2e776889fded4f360d97d5153f43eb48b9c2b12ba1f7857173da0e4143928d66f4fe8da031daccfb7642324f1e10f31ce077413cb3f469d00d69941b4973206e49783819875c6ca5581a04955d8e4d1fa452621fbc922ecb7ba186c08d3d10885ebb129b1a0d8ea0da056fc36267fc605754f3e7304dda8c99f0d7d5003835a5d37

21、.2 IOCS2、文件擴展名檢測。借助文件訪問監控工具，將勒索軟件的擴展名文件重命名操作列入黑名單；3、采用蜜罐文件。在共享文件夾放置虛假誘餌文件并以警報通知文件打開情況；4、配備安全防護工具。檢測系統中存在可疑工具；5、監控可疑網絡端口、協議和服務；識別授權和未授權的設備和軟件；對事件日志進行審核。響應：感染勒索病毒建議進行如下操作：1、隔離網絡。將感染病毒的機器斷開互聯網連接，視情況切斷網絡內不必要的網絡連接，避免網絡內其他機器被進一步感染滲透；2、分類處置。當重要文件尚未被加密時，應立即終止勒索軟件進程或關閉機器，及時止損；3、及時報告。及時報告網絡管理員，通知其他可能會受到勒索軟件影響

22、的人員，造成重大影響時，及時向網絡安全主管部門報告；4、排查加固。排查勒索軟件植入途徑；及時堵塞漏洞、盡快對網絡內機器進行全面漏洞掃描和安全加固；5、專業恢復。聯系專業公司和人員進行數據和系統恢復工作。12BlackCat 勒索軟件11203786b17bb3873d46acae32a898c8dac09850026720fca026d971b16d1990146ef6462e8c1664f95d865ef06f382bc9599a8093308afb9007ab895869820f261f76eafa1ba00af582a9225d005c89dd69b20eb1931487d8b65060

23、f2be3671bd5baf33c5181892afde538c73109b4c83e2a2730eb9014dda1e4a09a59565c5d62887e0e9a9f6f04a18b5f4d42566e04d295a1e9e2823d202a1800cdc1ddd77c5acefee89cdbf24e99d311f804615aedef8f3dfdc963d8beb490d00261280dc5a9bc9cc700da6020c7215c4325ded8139ea2f0428412f17e6c8f957bf41f2014cfbfdd683ba4e259b004bce3b54e3ea8906

24、0eff6db13e7455fee151205e972260e9522a324c6626ab70399ef9864542ddbeedfb8fbddfb538fa2979382615bbee32d1f58295447c33ca4316087497940a41d96e4e907b6dc92f75f4a38d861a362aa21546904629b28a56c9d5c4bfd3b53296f5ce5540c0d2c54489737f3fefdbf72c889ac533a9e17dc8062742878b0b5ced2145311929f6f77abd7af51a9e6245415d18be4614

25、2f2400a421f19d3aa8fd52bd107f7b62483c11c15923fbd2256c8bac94f025f3be089252692d58e54e3e926e09634e4036dff07387cf3f2393339d30d0672fcbccc7a73c1d6e2aeed499eb7d317b92b42d4a784b22d02dc6f466b4d686d1fa9fed064507639b9306b0d80bbf6116a5b0c0b6c147a2c715aad2eb1cd08294171523006c877ccc883460497ad35df82e64f338cfc9e224

26、36386688b5abe6780a462fd07cd12c3f33212a53525eeb7b76b3d1bfe40ac349446f2add878413BlackCat 勒索軟件BlackCat 勒索軟件5ac485d60fe2c096b10cda2624588427928e3f0d45212fa4501ede5af428563f8043c4ae40faec76fd0d6046d6e3096bd38df9aa539d4b5502db9f8557a6dfd2b021e5a4d4fe34a61bf3242ecee841b38917af3878fa49fe4ec930230b881ff0ae8d

27、19c9a03d9e0baa0c7b71b2ed3afe38fb6ddeb346e0309146a448463935b47e29155da74c68d16e0d703174845c914cc9525604ff06212f50b9938624018375b6eb3cc65a608abd9a96a3c5d158c944aadb153e794a584d75c2ceb07287fe450dcdc4d7ce949a655c2567650d2c109fab443de4b737294994f1fd3d385b316df5d37d39b10113a67080fc1516e0c971e6aa313f9d6408

28、6d68d1c0048420fa5c778165c1187fe0eaddee995773d6c66bcb558536e9b62ce10dfc54c2fbd2cb8a0a3845fde7ff3ee93634c2783b2b053ef0345710cd2487e5184f29116e367cURL：hxxp:/vwuzda4x76mhtutxkjnhzquuq4wgtgwjbv6wrs2m627uhg744ieaskqd.onion/?access-key=g7ZyzfVklepngLBki2XeB4NTccRD1m1R2RymNI23pOXwUVctZIV7CTeiwV2S3fptQIi%2F0

29、Yk%2BIL5LVHEU4Gkj4FVKSthcz6R8ObwbdpgIsf7BdTMQP7BgsTt6JpiHBdqv1I%2FQZEsr5dc49d8O3%2BRlTphpH%2BMFf3B5uCPkg35GwD7qEi8mGWinXixlPnaCmuq2LZpGqcZe15KVIlMK1dehL277UddgPLCUe11xIVbPOSfGTAdrRUfzeUtiJkX9lSAk5ry%2FYsqcg1IgIzjdqTByCGF%2B5BnnbUNJt0NcfGt1ldkUJfXHPrN1m73390kB%2BHkT8CGM9cFME6frN5j%2BoejVmw%3D%3D7.3 參考資料1.https:/redqueen.tj- 勒索軟件8.https:/www.aha.org/cybersecurity-government-intelligence-reports/2022-04-19-fbi-tlp-white-flash-report-blackcatalphv9.http:/ 勒索軟件BlackCat 勒索軟件市場合作：mkttj- 客戶服務：servicetj- 合作伙伴：partnertj-400-081-0700www.tj-專業的情報應用解決方案提供商