您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
BlackCat開始用一種新策略實(shí)施攻擊
BlackCat運(yùn)營商最近宣布對他們的工具進(jìn)行更新,包括一個(gè)名為Munchkin的實(shí)用程序,它允許攻擊者將BlackCat有效負(fù)載傳播到遠(yuǎn)程設(shè)備和受害者組織網(wǎng)絡(luò)上的共享。在過去的兩年中,作為勒索軟件即服務(wù)(RaaS)商業(yè)模式的一部分,BlackCat勒索軟件運(yùn)營商一直在不斷發(fā)展和更新他們的工具。
在最新發(fā)現(xiàn)的樣本中,Unit 42的研究人員獲得了一個(gè)獨(dú)特的Munchkin樣本,因?yàn)樗虞d在自定義的Alpine虛擬機(jī)(VM)中。這種利用自定義虛擬機(jī)來部署惡意軟件的新策略在最近幾個(gè)月得到了越來越多的應(yīng)用,允許勒索軟件攻擊者使用虛擬機(jī)來繞過部署惡意軟件有效負(fù)載的安全解決方案。
本文詳細(xì)介紹了這個(gè)新實(shí)用程序的攻擊進(jìn)程,并進(jìn)一步闡明了BlackCat攻擊者使用的持續(xù)策略。
BlackCat概述
BlackCat勒索軟件于2021年11月首次曝光,這種攻擊因其惡意軟件的復(fù)雜性以及使用Rust編程語言等獨(dú)特方法而臭名昭著。
與其他勒索軟件類似,BlackCat采用了RaaS商業(yè)模式,這種模式允許其他機(jī)構(gòu)有償利用他們的工具,使用機(jī)構(gòu)會獲得大約80-90%的贖金,其余的則交給運(yùn)營商。
“BlackCat”組織及其使用機(jī)構(gòu)歷來把目標(biāo)鎖定在美國境內(nèi)。然而,隨著時(shí)間的推移以及受歡迎程度,攻擊范圍正在逐漸擴(kuò)大,最近,人們發(fā)現(xiàn)BlackCat的目標(biāo)是全球眾多行業(yè)及其垂直行業(yè)的受害者。
BlackCat工具集多年來一直在不斷發(fā)展。
原始版本僅提供了一個(gè)嵌入式JSON配置,并沒有應(yīng)用混淆或加密。
隨著時(shí)間的推移,操作人員更新了惡意軟件家族,以混淆這種底層配置。他們還需要一個(gè)唯一的命令行參數(shù)來執(zhí)行惡意軟件。在此過程中,BlackCat阻止了安全人員在此命令行參數(shù)不可用的情況下獲得底層有效進(jìn)行研究。
惡意軟件家族一直在不斷發(fā)展,攻擊者采用了更多的功能和混淆機(jī)制。最近幾個(gè)月,BlackCat發(fā)布了一個(gè)名為“Munchkin”的新工具。
該工具提供了運(yùn)行Sphynx(最新的BlackCat變體)的基于linux的操作系統(tǒng)。攻擊者可以使用此實(shí)用程序在遠(yuǎn)程設(shè)備上運(yùn)行BlackCat,或?qū)⑵洳渴鸬郊用苓h(yuǎn)程服務(wù)器消息塊(SMB)或通用互聯(lián)網(wǎng)文件共享(CIFS)。
Munchkin進(jìn)程示意圖
在實(shí)際運(yùn)行中,使用虛擬機(jī)運(yùn)行惡意軟件是一種日益增長的趨勢。據(jù)報(bào)道,其他勒索軟件組織也利用了這種新策略。
這種方法的好處包括繞過主機(jī)操作系統(tǒng)上設(shè)置的任何安全控制或保護(hù),例如防病毒軟件。由于這些解決方案通常在嵌入式虛擬化操作系統(tǒng)中沒有自省功能,惡意軟件將經(jīng)常繞過現(xiàn)有的任何檢查。
在最近的調(diào)查中,Unit 42的研究人員能夠獲得這個(gè)VM實(shí)用程序的副本。因此,我們可以深入了解它是如何工作的。
攻擊過程
Munchkin實(shí)用程序以ISO文件的形式提供,在VirtualBox虛擬化產(chǎn)品的新安裝樣本中加載。這個(gè)ISO文件代表了Alpine操作系統(tǒng)的自定義實(shí)現(xiàn),攻擊者可能會選擇它,因?yàn)樗加每臻g小。操作系統(tǒng)啟動(dòng)后,會執(zhí)行如下命令:
在此過程中,惡意軟件最初將虛擬機(jī)的根密碼更改為攻擊者選擇的密碼。它隨后通過內(nèi)置的tmux實(shí)用程序生成一個(gè)新的終端會話,該實(shí)用程序用于執(zhí)行名為controller的惡意軟件二進(jìn)制文件。惡意軟件完成執(zhí)行后,會關(guān)閉虛擬機(jī)。
控制器惡意軟件與其他相關(guān)文件一起托管在/app目錄中。此外,虛擬機(jī)操作系統(tǒng)中還包含其他相關(guān)且值得注意的文件。
虛擬機(jī)操作系統(tǒng)中包含的文件路徑及有關(guān)描述
除了上面提到的文件,大量的Python腳本直接存在于/usr/bin中,BlackCat操作符可以在VM的后續(xù)更新中使用這些腳本。
攻擊者可以使用上面的許多Python腳本進(jìn)行橫向移動(dòng)、密碼轉(zhuǎn)儲和在受害者網(wǎng)絡(luò)上進(jìn)一步執(zhí)行惡意軟件。
控制器惡意軟件是用Rust編程語言編寫的,其方式與BlackCat惡意軟件家族非常相似。在執(zhí)行時(shí),控制器最初將使用唯一的單字節(jié)異或操作解密大量字符串。
運(yùn)行時(shí)的字符串解密
在字符串被解密后,攻擊者將執(zhí)行基本檢查,以確保預(yù)期的配置和有效負(fù)載文件駐留在/app目錄中。然后,該攻擊將反序列化并解析/app/config文件,如果這些文件不存在,或者如果它們無法被解析,惡意軟件將自行退出并顯示一條錯(cuò)誤消息。
/app/config文件包含大量信息,包括控制器惡意軟件樣本隨后使用的以下信息:
訪問令牌;
任務(wù)標(biāo)識符;
受害者憑據(jù)(包括用戶名、密碼和域);
BlackCat受害者URL;
阻止列表的文件類型和路徑;
要加密的目標(biāo)主機(jī)和共享;
解析配置后,控制器創(chuàng)建并掛載/payloads/目錄,用于托管隨后創(chuàng)建的BlackCat樣本??刂破魇褂们懊嫣岬降?app/payload作為模板來創(chuàng)建自定義的BlackCat樣本。在模板文件中,控制器在修改該文件時(shí)查找并使用特定的標(biāo)記。
基于模板和配置創(chuàng)建新的BlackCat示例
所創(chuàng)建的文件基于所提供的配置。但是,它們的命名如下,并帶有增量值:
/payloads/0
/payloads/1
創(chuàng)建這些有效負(fù)載后,惡意軟件繼續(xù)遍歷所提供的配置,目的是感染指定的任何SMB/CIFS驅(qū)動(dòng)器。這些嘗試在寫入STDOUT的各種輸出中進(jìn)行了概述,其示例如下所示。
注:實(shí)際的IP地址和共享名稱已在下面的輸出中進(jìn)行了編輯。
惡意軟件完全執(zhí)行后,虛擬機(jī)將關(guān)閉電源,不再執(zhí)行進(jìn)一步的操作。
研究人員發(fā)現(xiàn)以下消息嵌入到惡意軟件樣本中,但未使用,它可能在開發(fā)的某個(gè)階段被包括在內(nèi),但后來又被取消。
這條消息似乎是BlackCat的開發(fā)者給他們的使用組織的一條消息,敦促他們從不安全的環(huán)境中刪除這個(gè)文件。看來使用組織并沒有聽從這一建議。
總結(jié)
惡意軟件的開發(fā)者,特別是那些背后的BlackCat勒索軟件使用者,繼續(xù)更新和發(fā)展他們的技術(shù)和戰(zhàn)術(shù),這一點(diǎn)在他們最近發(fā)布的“Munchkin”中得到了充分體現(xiàn)。
惡意工具利用虛擬機(jī)來阻止主機(jī)上存在的安全管理功能,并反檢測方面領(lǐng)先于安全防護(hù)。
參考及來源:
https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/
原文來源:嘶吼專業(yè)版