写在前面:7月22日和23日,BlackCat攻击了Encevo S.A. electricity 和天然气管道子公司Creos Luxemboung S.A.,8月1日,BlackCat又勒索了luxembourg power company公司,最近非常活跃。本文介绍了黑猫的技术特点,攻击手法,也可以了解到黑客组织背后的一些变化。

7月20日

    这份报告是AdvIntel关于ALPHV(又名BlackCat)勒索软件组织的新系列的第一部分。在接下来的第二部分中,AdvIntel将对BlackCat的组织结构、招聘和运营过程进行分析。本文介绍了背景,并深入了解该集团的技术能力,这可能预示着一批新的威胁行动者进入网络犯罪生态系统。

    本例的情报分析源于AdvIntel对BlackCat集团的直接攻击接受,基于一手情报,而不是间接证据。

ALPHV介绍

    ALPHV(通常被称为BlackCat)是一个勒索软件组织,以其高度定制的功能集和Rust编写的恶意软件locker而闻名,允许对各种企业环境进行攻击,并成功执行了一些引人注目的攻击,包括意大利奢侈品牌Moncler和航空公司Swissport。

    BlackCat的勒索软件包括许多先进的技术特性,这些特性使它与大多数勒索软件的操作不同,包括恶意软件完全使用命令行、人工操作和适应力强、以及它使用不同加密程序,在设备之间传播,关闭虚拟机,甚至擦除它们的快照以防止恢复。

    简而言之,BlackCat的独特优势似乎在于它的适应性,或者说愿意改变自己以适应当前的需求。那么是什么让BlackCat与众不同呢?

回到起点

    长期以来,人们一直推测BlackCat其他同类组织不同,它不仅使用一种不常见的基于rust的恶意软件(相比更常用的基于C的变体),而且倾向于避免使用任何勒索软件操作中常见的工具(如Cobalt Strike,Metasploit,Atera等)。

    这直接解决了当今勒索软件社区可能面临的最紧迫问题——对攻击方法的疲劳已经导致了多个现有威胁组织的解散。

    多年来,只有少数工具被网络犯罪分子武器化,以执行网络渗透,其中Cobalt Strike最为常见。这造就了整整一代的渗透攻击罪犯,他们为勒索软件集团工作,被困在自己狭窄的工具箱里。这反过来使得网络防御组织将Cobalt Strike的攻陷标志作为确凿的告警信号,增加了罪犯被发现的机会,并最终降低了他们攻击的持久性。此外,Cobalt Strike是一种合法的渗透测试工具,最初并没有想成为一个恶意软件,这使得应对Cobalt Strike武器化攻击的网络防御效率更加有效,因为从某种意义上说,该软件是为被打击而设计的。

    因此,勒索软件团体一直在积极策划逃离工具箱思维模式的狭窄视野。例如,现在已经不存在的Conti,准备了一份超过100种不同的网络渗透和攻击性替代方案的清单,其中包括合法工具和地下恶意软件。但这些计划从未付诸实现。

    不过,BlackCat的情况与主流叙事有所不同,因为该组织已经围绕自己编写的攻击性脚本建立了一套行动方案。通过创造全新的工具来执行他们的行动,BlackCat不仅找到了一种似乎是绕过现有防御策略的有效方法,而且还通过随着时代的变化确保了自己的存在寿命。这使BlackCat领先于其竞争对手。

BlackCat的边缘-勒索软件二进制文件技术分析

    AdvIntel已经观察到,针对它可能遇到的各种操作系统架构的不同特点,包括ESXI,BlackCat的勒索软件有相当多的不同二进制版本。因为这个勒索病毒二进制文件的范围,由于它使用了Rust编程语言,我们的团队有很多机会来分析AlphV的内部操作。

    AdvIntel发现BlackCat部署操作涉及使用域和企业管理员硬编码凭证直接执行。

    此外,犯罪分子通过从SYSVOL目录执行域控制器全局策略更新操作和netlogon计划任务,来启动加密操作,然后使用主域控制器(PDC)的以下参数:

/c \\DOMAIN.LOCAL \netlogon\locker.exe --access-token CODE 

gpupdate /force

Windows x64版本

    BlackCat的勒索软件二进制文件是由成熟且经验丰富的程序员用Rust编写的,每个版本的Windows或Linux库都利用Salsa20/AES和RSA的私有和公开加密的常见组合。恶意软件编码人员将Windows库的编译器路径设置为“C:\Users\runneradmin”。有趣的是,二进制有自己的完整的用户图形界面通过访问令牌启动,二级使用者从他们的勒索软件面板获得。

    一些显著的恶意软件功能包括自传播枚举服务和共享,PsExec在网络范围内执行(“arp -a”枚举),并利用广泛的安全启动功能,同时修改启动加载程序,在安全启动时,把自己作为“服务”,使其能够绕过某些反病毒和端点检测和响应产品。勒索病毒二进制文件还清除日志、删除卷影副本和清理回收站。

    该恶意软件包含将域凭证传递给“net use”功能,允许单台机器通过UAC绕过,利用进程环境块(process environment block,PEB)遍历技术获得API调用,实现整个系统范围内的访问,如下所示:

win7_plus=true

token_is_admin=

token_is_domain_admin=

masquerade_peb

Uac_bypass::

escalate=success 

escalate=failure

    此外,该恶意软件利用通常的Restart Manager API来访问某些文件,以及发现“隐藏分区”。

Linux Debian x64 ESXI Version

    恶意软件的ESXI版本在/vmfs/volumes中包含了加密ESXI卷,以及通过命令行删除所有虚拟机快照的逻辑,如下图所示:

esxi/bin/esxclilog | | esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F"\"*,\"*" '{system("esxcli vm process kill --type=force --world-id="$1)}'for i in `vim-cmd vmsvc/getallvms| awk '{print$1}'`;do vim-cmd vmsvc/snapshot.removeall $i & done

网络罪犯的镜像世界

BlackCat的最新消息发布在犯罪论坛RAMP上

    值得注意的是,BlackCat的轻装开始的基础更多的是团队的心态,而不是它的工具包。从一开始,BlackCat就一直在寻找解决勒索软件最大障碍的非常规方案,无论是在操作上还是在组织上。

    多年来,勒索组织主要遵循RaaS(勒索软件即服务)模式,使其二级使用者能够租用已经完成开发的勒索软件工具独立执行攻击。除了Conti,Cl0p和DoppelPaymer之外,大多数勒索软件集团都趋向于松散的组织,很少有内部结构将他们联系在一起,成为网络犯罪生态系统,由于其存在的非法性质,本质上是不稳定和混乱的,在业务很短的生命周期内,团体不断地解散和重新命名。

    这种持续的、动态的活动奇怪地让人联想到初创公司的高流失率。网络犯罪社区,特别是勒索软件社区,有时可以是现实世界犯罪集团甚至合法企业的黑镜:初创公司的高流失率和威胁行为者在勒索软件集体进进出出类似,因为这两个行业往往遭受类似的问题:这可能包括缺乏监管、高度竞争、“狙击”有才能的成员、结构性问题,以及普遍缺乏保持增长和奉献精神及结构。

BlackCat & REvil:避免过去的错误

    相反,RaaS模型既以软件即服务模型命名,又体现了该模型特点,该模型在整个企业软件行业中几乎普遍使用。

    最初,“按需软件”的SaaS模式专注于管理和托管来自独立供应商的第三方软件。然而,随着时间的推移,SaaS厂商开始开发自己的专有软件,从而省去了中间环节。

    BlackCat在运营模式上也做了同样的事情。该组织的管理人员(根据AdvIntel的调查)曾是REvil的成员,该组织在2022年初FSB突袭后被解散。然而,当需要重新塑造品牌时,BlackCat并没有只是重新创造REvil的有效载荷,而是决定创造自己的游戏。

    该组织似乎在避免重蹈REvil的覆辙,而且理由很充分——如前所述,基于“按需软件”的勒索软件团队没有个人创新模式,在昙花一现之前有恶名满天下的趋势。例如,Avaddon、Maze、 Egregor、 and REvil。据大家所知,当他们的成员被逮捕时,已经处于死亡的边缘。

    AdvIntel显示了BlackCat的面板—模仿了REvil之前的面板。

    BlackCat决定“从零开始”,用一种使用率较低的编程语言编写新的、高度可定制的恶意软件,这反映了RaaS和SaaS的同样需求:对新的、专门工具的需求,在别的威胁集团为了生存而开发软件时,使BlackCat能够垄断勒索软件市场

趋势:垄断黑市

    此外,SaaS最近的发展也见证了另一个显著的趋势:从横向SaaS(即广泛应用于各种行业的软件)到垂直SaaS(针对特定的行业利基和标准)的转变。

    RaaS作为威胁领域的一种模式的变化表明,它的下一步是类似的:包括BlackCat在内的最具创新性的威胁组织似乎正在不断改进,他们更强调恶意软件的排他性、自定义特性以及针对特定实体的能力。就目前而言,BlackCat独家的、高度可配置的基于Rust的locker似乎是前所未有的,随着他们的目标数量继续上升,政府机构争相将组织作为攻陷指标

    目前的威胁格局正在发生变化,最近几周才变得更加明显,像Conti这样规模更大、更成熟的组织迅速解体,其以前的分支机构或秘密组成新的组织,或加入现有的组织。

    这种分裂产生的新威胁集团可以利用其新成员曾经作为更大、更成熟的勒索软件集团的前附属机构更先进的能力。新小组的成员产生了非常小众的操作技能,反过来使小组的功能日益专业化。如果访问经纪业务的趋势进一步朝着特定的组织和行业目标发展,组织专业化甚至可能开始影响不同组织使用和开发的工具,正如我们目前看到的BazarCall攻击方式的惊人演变。

结论-RaaS: Resiliency-as-a-Service(RaaS,从勒索软件即服务,向弹性即服务转变)

    尽管BlackCat在模式上有所创新,但和同时代的公司一样,它仍然属于“勒索软件即服务”的范畴。RaaS从SaaS获得这个头衔并不仅仅是一个玩笑;这两种模型都具有“按需”的功能,或者正如它们的名称所表明的那样,“作为服务”。随着犯罪生态系统继续以惊人的速度发展,随着对特殊性需求的增加,BlackCat的方法可能很快就会成为这种情况代表——那些未能适应的更广泛的威胁群体将被淘汰。

对手评估摘要[ALPHV/BlackCat]

ALPHV / BlackCat[威胁组织]

恶意软件类型:勒索软件

产地:东欧

情报来源:非常可靠

功能:

  • 数据加密
  • 数据窃取
  • 生成locker
  • 恶意软件的可配置性和自适应性

MITRE ATT&CK框架:

  • T1070 -离开主机指标
  • T1070.001 -清除Windows事件日志
  • T1078.003 -本地帐号
  • T1562.001 -禁用或修改工具
  • T1048 -可替代协议泄露
  • T1048.002 -非对称加密非C2协议的泄露
  • T1486 -数据加密影响

软件分发:

  • 私有locker恶意软件(Rust编码)
  • Fortinet VPN漏洞利用

驻留性:非常高

感染率:高

解密:没有公布

威胁评估:严重

建议和缓解措施[ALPHV/BlackCat]

    联邦调查局最近发布了一份关于BlackCat勒索软件的官方资料。政府机构建议BlackCat的受害者不要支付要求的赎金,如果可能的话,并报告所有与BlackCat相关的事件给机构本身。

    AdvIntel和FBI都支持以下针对ALPHV/BlackCat勒索病毒的缓解和预防建议:

  • 检查域控制器、服务器、工作站和活动目录是否有新的或无法识别的用户帐户
  • 定期备份数据、物理隔离和使用密码保护离线备份副本。确保关键数据的副本在修改或删除数据所在系统时不可访问
  • 查看任务调度器,查找无法识别的计划任务。此外,手动检查操作系统定义或识别的计划任务中未识别的“操作”(例如:检查每个计划任务预期执行的步骤)
  • 查看防病毒日志,看看是否有异常关闭的迹象
  • 实现网络分段
  • 安装软件时需要管理员凭证
  • 实施恢复计划,在物理隔离、分段、安全的位置(如硬盘、存储设备、云)维护和保留敏感或专有数据和服务器的多个副本
  • 在更新/补丁发布后,立即安装操作系统、软件和固件的更新/补丁
  • 尽可能使用多因素身份验证
  • 定期修改网络系统和账户的密码,避免不同帐户的密码重复使用
  • 为密码更改实现可接受的最短时间帧
  • 关闭未使用的远程访问/RDP (remote access/ remote Desktop Protocol)端口,监控远程访问/RDP日志
  • 审计具有管理员权限的用户账户,并以最低权限配置访问控制
  • 在所有主机上安装防病毒及防恶意软件,并定期更新
  • 请使用安全网络,避免使用公共Wi-Fi网络。请考虑安装和使用虚拟专用网络(VPN)
  • 考虑在从组织外部接收的电子邮件中添加电子邮件声明
  • 禁用接收邮件中的超链接
软件 勒索
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接