趨勢(shì) 1：攻擊者正在嘗試開(kāi)發(fā)跨平臺(tái)勒索軟件

　　由于多年來(lái)越來(lái)越流行的大型狩獵 (BGH) 計(jì)劃，攻擊者已經(jīng)滲透到越來(lái)越復(fù)雜的系統(tǒng)環(huán)境中。為了造成盡可能多的破壞并使恢復(fù)變得非常困難，他們?cè)噲D對(duì)盡可能多的系統(tǒng)進(jìn)行加密。這意味著他們的勒索軟件應(yīng)該能夠在不同的架構(gòu)和操作系統(tǒng)組合上運(yùn)行。

　　克服這個(gè)問(wèn)題的一種方法是使用“跨平臺(tái)編程語(yǔ)言”（例如 Rust 或 Golang）編寫(xiě)勒索軟件。使用跨平臺(tái)語(yǔ)言還有其他幾個(gè)原因。例如，即使勒索軟件目前可能針對(duì)一個(gè)平臺(tái)，但將其寫(xiě)入跨平臺(tái)可以更容易地將其移植到其他平臺(tái)。另一個(gè)原因是跨平臺(tái)二進(jìn)制文件的分析比用純 C 編寫(xiě)的惡意軟件要難一些。

　　Conti 跨平臺(tái)功能

　　Conti 是一個(gè)開(kāi)展 BGH 的組織，其目標(biāo)是全球范圍內(nèi)的各種組織。就像許多其他 BGH 組織一樣，它使用雙重勒索技術(shù)。

　　我們注意到，只有某些關(guān)聯(lián)公司才能訪問(wèn)針對(duì) ESXi 系統(tǒng)的 Conti 勒索軟件的 Linux 變體。它支持各種不同的命令行參數(shù)，會(huì)員可以使用這些參數(shù)來(lái)自定義執(zhí)行。Linux 版本支持以下參數(shù)：

　　detach：示例在后臺(tái)執(zhí)行，并與終端分離；

　　log：出于調(diào)試目的，指定文件名后，Conti 會(huì)將操作寫(xiě)入日志文件；

　　path：Conti 需要這個(gè)路徑來(lái)加密系統(tǒng)。使用選定的路徑，勒索軟件將遞歸加密整個(gè)文件夾結(jié)構(gòu)；

　　prockiller：此標(biāo)志允許勒索軟件阻止那些具有選定文件進(jìn)行加密的進(jìn)程；

　　size：函數(shù)未實(shí)現(xiàn)；

　　vmlist：用于在加密過(guò)程中跳過(guò)虛擬機(jī)的標(biāo)志；

　　vmkiller：它將終止 ESXi 生態(tài)系統(tǒng)的所有虛擬機(jī)；

　　BlackCat 跨平臺(tái)功能

　　BlackCat 于 2021 年 12 月開(kāi)始在暗網(wǎng)上提供服務(wù)。盡管該惡意軟件是用 Rust 編寫(xiě)的，但我們發(fā)現(xiàn)了一些與 BlackMatter 組織相關(guān)的攻擊示例，因?yàn)樵摴粽呤褂昧伺c之前在 BlackMatter 活動(dòng)中觀察到的相同的自定義滲透工具。由于 Rust 的交叉編譯功能，我們很快就找到了同樣適用于 Linux 的 BlackCat 示例。

　　BlackCat 的 Linux 示例與 Windows 非常相似。在功能方面，它稍微多一些，因?yàn)樗軌蜿P(guān)閉設(shè)備并刪除 ESXi 虛擬機(jī)。典型的 Windows 功能（例如，通過(guò) cmd.exe 執(zhí)行命令）被刪除，并被Linux的等效功能取代，因此勒索軟件在其運(yùn)行的不同平臺(tái)上仍然具有相同的功能。

　　Deadbolt 跨平臺(tái)功能

　　Deadbolt 是一個(gè)以跨平臺(tái)語(yǔ)言編寫(xiě)的勒索軟件示例，但目前僅針對(duì)QNAP NAS 系統(tǒng)。它也是 Bash、HTML 和 Golang 的有趣組合。Deadbolt 本身是用 Golang 編寫(xiě)的，贖金通知是一個(gè)HTML文件，它取代了QNAP NAS使用的標(biāo)準(zhǔn)索引文件，如果提供的解密密鑰是正確的，則使用Bash腳本啟動(dòng)解密過(guò)程。這個(gè)勒索軟件還有一個(gè)特別之處：它不需要與攻擊者進(jìn)行任何交互，因?yàn)樵诒忍貛沤灰椎?OP_RETURN 字段中提供了解密密鑰。Bash 文件如下所示。

　　趨勢(shì) 2：勒索軟件生態(tài)系統(tǒng)正在變得更加“工業(yè)化”

　　就像合法的軟件公司一樣，網(wǎng)絡(luò)犯罪組織也在不斷地為自己和他們的客戶開(kāi)發(fā)他們的工具包，例如，使數(shù)據(jù)泄露的過(guò)程更快、更容易。攻擊者有時(shí)會(huì)使用的另一個(gè)技巧是重新命名他們的勒索軟件，在這個(gè)過(guò)程中一點(diǎn)點(diǎn)改變。讓我們深入研究一下勒索軟件組織最近使用的新工具和“商業(yè)”策略。

　　自 2019 年以來(lái)最成功的 RaaS—— Lockbit 的演變

　　Lockbit 始于 2019 年，然后在 2020 年宣布了其附屬計(jì)劃。隨著時(shí)間的推移，該組織一直在積極迭代，如下圖所示：

　　該組織在開(kāi)始進(jìn)行惡意活動(dòng)時(shí)，沒(méi)有任何泄密網(wǎng)站，沒(méi)有進(jìn)行雙重勒索，也沒(méi)有數(shù)據(jù)加密前的數(shù)據(jù)泄露。

　　隨著時(shí)間的推移，基礎(chǔ)設(shè)施也得到了改善。與其他勒索軟件家族一樣，Lockbit 的基礎(chǔ)設(shè)施遭受了多次攻擊，迫使該組織實(shí)施一些對(duì)策來(lái)保護(hù)其資產(chǎn)。這些攻擊包括對(duì) Lockbit 管理面板的黑客攻擊和 DDOS 攻擊，以迫使該組織關(guān)閉其活動(dòng)。

　　Lockbit 開(kāi)發(fā)人員添加的最新安全功能是“等待頁(yè)面”，可以將用戶重定向到一個(gè)可用的鏡像。

　　StealBIT：Lockbit 勒索軟件使用的自定義數(shù)據(jù)泄露工具

　　當(dāng)組織實(shí)施雙重勒索時(shí)使用的數(shù)據(jù)泄露可以通過(guò)許多不同的方式進(jìn)行。最初，攻擊者使用諸如 Filezilla 等公開(kāi)可用的工具，然后用他們自己的自定義工具（如 StealBIT）取而代之。原因如下：

　　公開(kāi)可用的工具并不總是以速度著稱。對(duì)勒索軟件運(yùn)營(yíng)商來(lái)說(shuō)，速度很重要，因?yàn)楦`取數(shù)據(jù)的時(shí)間越長(zhǎng)，勒索軟件運(yùn)營(yíng)商被抓住的幾率就越大。

　　靈活性是另一個(gè)原因。標(biāo)準(zhǔn)工具的設(shè)計(jì)并沒(méi)有考慮到勒索軟件運(yùn)營(yíng)商的要求。例如，使用大多數(shù)工具，可以僅將數(shù)據(jù)上傳到一臺(tái)主機(jī)。如果該主機(jī)已關(guān)閉，則必須手動(dòng)指定另一臺(tái)主機(jī)。犯罪基礎(chǔ)設(shè)施被摧毀或落入LEA手中的可能性總是存在的。為了提供更大的靈活性并克服這些限制，StealBIT提供了一個(gè)數(shù)據(jù)可以被竊取到的硬編碼主機(jī)列表。如果第一個(gè)主機(jī)由于某種原因關(guān)閉，則嘗試第二個(gè)主機(jī)。

　　勒索軟件運(yùn)營(yíng)商的要求是公開(kāi)可用的工具無(wú)法滿足的。其中一項(xiàng)要求是不泄露所有數(shù)據(jù)，而只泄露有趣的數(shù)據(jù)。在 StealBIT 中，這是通過(guò)硬編碼應(yīng)提取的擴(kuò)展列表來(lái)實(shí)現(xiàn)的。另一個(gè)功能是在上傳數(shù)據(jù)時(shí)發(fā)送附屬 ID。

　　在下圖中，研究人員將數(shù)據(jù)泄露與其他工具的數(shù)據(jù)泄露進(jìn)行了比較：

　　SoftShade 部署 Fendr 滲透客戶端

　　Fendr，也稱為 Exmatter，是一種惡意數(shù)據(jù)泄露工具，被 BlackMatter、Conti 和 BlackCat 等多個(gè)勒索軟件組織使用。在我們觀察到的所有 BlackMatter 和 Conti 事件中都沒(méi)有看到 Fendr，但我們確實(shí)在所有與 BlackCat 相關(guān)的事件中看到了它們。因此，我們認(rèn)為 Fendr 被參與了一些附屬計(jì)劃。

　　在SoftShade內(nèi)部，開(kāi)發(fā)人員將其稱為“file_sender”和“sender2”。該惡意軟件是用 C# .Net 編寫(xiě)的，并且經(jīng)常與 BlackMatter 和 Conti 惡意軟件一起部署為打包的 .Net 可執(zhí)行文件，但與 Conti 和 BlackCat 勒索軟件一起部署的大多數(shù)示例都沒(méi)有打包（2021 年 11 月的一次 Conti 事件除外）。它旨在有效管理受害系統(tǒng)上的大量選擇性文件收集和上傳活動(dòng)，然后將其從系統(tǒng)中刪除。Fendr 由多個(gè)開(kāi)源庫(kù)構(gòu)建而成，它的設(shè)計(jì)顯然是在勒索軟件領(lǐng)域成熟和專業(yè)經(jīng)驗(yàn)的結(jié)果，可以處理各種Windows系統(tǒng)和網(wǎng)絡(luò)上任意的大文件量。

　　同樣有趣的是 Fendr 及其選擇的勒索軟件的部署和打包，在每個(gè)附屬計(jì)劃中（除了一次 Conti 事件），勒索軟件和 Fendr 通過(guò)網(wǎng)絡(luò)同時(shí)傳送到多個(gè)系統(tǒng)，如“v2.exe”和“v2c.exe”，或“v2.exe”和“sender2.exe”。這種同步推動(dòng)似乎優(yōu)先考慮協(xié)調(diào)和效率，而不是提高被發(fā)現(xiàn)的風(fēng)險(xiǎn)。在一個(gè)與const相關(guān)的異常中，一個(gè)Fendr變體被作為“\\hostname\$temp\sender2.exe”通過(guò)網(wǎng)絡(luò)推送到許多系統(tǒng)。

　　趨勢(shì)3：勒索軟件組織在地緣政治沖突中會(huì)出現(xiàn)政治偏向

　　攻擊者利用新聞?lì)^條來(lái)實(shí)現(xiàn)他們的惡意目標(biāo)。研究人員在全球 Covid-19 初始階段看到了這一點(diǎn)，當(dāng)時(shí)與 Covid-19 相關(guān)的垃圾郵件和網(wǎng)絡(luò)釣魚(yú)電子郵件激增。2022年俄烏沖突也是如此。

　　通常在這樣的地緣政治沖突中，人們會(huì)將網(wǎng)絡(luò)攻擊的源頭與國(guó)家支持的攻擊組織聯(lián)系起來(lái)。但事實(shí)并非總是如此，因?yàn)槲覀冏⒁獾?，在這場(chǎng)沖突中，出現(xiàn)了一種新型的參與方式：網(wǎng)絡(luò)犯罪論壇和勒索軟件組織對(duì)形勢(shì)做出反應(yīng)，并采取行動(dòng)。

　　2 月 25 日，Conti 在其新聞網(wǎng)站上發(fā)布了一條消息，聲明如果俄羅斯成為網(wǎng)絡(luò)攻擊的目標(biāo)，它將以全部能力對(duì)任何“敵人”的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行報(bào)復(fù)。這可能是網(wǎng)絡(luò)犯罪組織公開(kāi)支持民族國(guó)家的罕見(jiàn)例子。結(jié)果，一名據(jù)稱是烏克蘭人的成員在網(wǎng)上分享了聊天和其他內(nèi)部 Conti 相關(guān)信息。

　　Conti 勒索軟件組織在其新聞網(wǎng)站上發(fā)布警告消息

　　另一方面，還有其他社區(qū)，如“匿名者”、“烏克蘭IT軍”和“白俄羅斯網(wǎng)絡(luò)游擊隊(duì)”公開(kāi)支持烏克蘭。

　　沖突開(kāi)始期間幾個(gè)組織和論壇的立場(chǎng)如下圖所示：

　　Freeud：具有清除功能的全新勒索軟件

　　卡巴斯基最近發(fā)現(xiàn)了支持烏克蘭的全新勒索軟件變種 Freeud。Freeud的勒索信說(shuō)俄羅斯軍隊(duì)?wèi)?yīng)該離開(kāi)烏克蘭。單詞的選擇和筆記的書(shū)寫(xiě)方式表明它是由以俄語(yǔ)為母語(yǔ)的人寫(xiě)的。惡意軟件開(kāi)發(fā)者的政治觀點(diǎn)不僅通過(guò)贖金票據(jù)表達(dá)，還通過(guò)惡意軟件功能表達(dá)。其中之一是清除功能。如果惡意軟件包含文件列表，而不是加密，惡意軟件會(huì)將它們從系統(tǒng)中清除。

　　另一個(gè)突出的特性是惡意軟件的高質(zhì)量，其應(yīng)用的加密方法和使用多線程的方式突出了這一點(diǎn)。

　　GoRansom

　　GoRansom 于 2 月底在烏克蘭被發(fā)現(xiàn)，同時(shí)進(jìn)行了 HermeticWiper 攻擊。GoRansom 所做的一些事情與其他勒索軟件變體不同：

　　它會(huì)創(chuàng)建數(shù)百個(gè)副本并運(yùn)行它們；

　　函數(shù)命名方案參考美國(guó)總統(tǒng)選舉；

　　沒(méi)有混淆，它具有非常簡(jiǎn)單的功能；

　　出于這些原因，我們認(rèn)為它的創(chuàng)建是為了提高烏克蘭網(wǎng)絡(luò)行動(dòng)的效率。

　　Stormous

　　大多數(shù)情況下，當(dāng)我們分析 PHP 代碼時(shí)，它要么是 web shell，要么是一些僵尸網(wǎng)絡(luò)面板代碼。Stormous是少數(shù)例外。除了作為后門(mén)之外，它還包含勒索軟件功能。攻擊者尋找支持 PHP 技術(shù)的 Web 服務(wù)器和易受 Web 應(yīng)用程序攻擊的漏洞。

　　對(duì)惡意軟件的分析表明，攻擊者是來(lái)自北非地區(qū)的阿拉伯。

　　PHP 腳本提供了一個(gè)通過(guò) HTTP 進(jìn)行遠(yuǎn)程交互的 Web 界面，其中提供了幾個(gè)加密選項(xiàng)：“OpenSSL”、“Mcrypt”和“Xor”。很有可能是由于目標(biāo)服務(wù)器的外部考慮因素，比如運(yùn)行在服務(wù)器上的PHP版本，所以將這三個(gè)擴(kuò)展開(kāi)發(fā)到腳本中。

　　DoubleZero wiper瞄準(zhǔn)烏克蘭

　　DoubleZero wiper最初由烏克蘭 CERT 于 3 月 22 日發(fā)布。它是用 C# 編寫(xiě)的全新wiper；它與任何其他已知的wiper都不同，并且僅針對(duì)烏克蘭實(shí)體。二進(jìn)制文件本身被未知的 C# 混淆器嚴(yán)重混淆。類和方法名是隨機(jī)生成的。

　　混淆

　　控制流是使用一種功能扁平化機(jī)制來(lái)組織的，這種機(jī)制創(chuàng)建的目的是減緩對(duì)惡意代碼的分析。

　　混淆反編譯代碼

　　當(dāng)所有的準(zhǔn)備工作都結(jié)束后，惡意軟件開(kāi)始它的清除操作。首先，它通過(guò)將文件夾名稱與硬編碼列表進(jìn)行比較來(lái)檢查用戶（非系統(tǒng)文件），并開(kāi)始使用一個(gè)非常有趣的NtFsControlFile API實(shí)現(xiàn)來(lái)清除它們。

　　硬編碼的文件夾列表

　　文件清除

　　NtFsControlFile 例程將控制代碼直接發(fā)送到指定的文件系統(tǒng)或文件系統(tǒng)過(guò)濾器驅(qū)動(dòng)程序，使相應(yīng)的驅(qū)動(dòng)程序執(zhí)行指定的操作。如上圖所示，控制代碼的值為622792 (0x980C8in十六進(jìn)制)，對(duì)應(yīng) FCSTL 結(jié)構(gòu)的 FSCTL_SET_ZERO_DATA 控制代碼。文件中的數(shù)據(jù)將被 intPtr2 變量指向的零值覆蓋。如果函數(shù)失敗，wiper 將執(zhí)行標(biāo)準(zhǔn)的 .Net FileStream.Write 函數(shù)用于相同目的，然后惡意軟件會(huì)清除找到的系統(tǒng)文件。

　　最后，惡意軟件會(huì)刪除 HKU、HKLM 中的 Windows 注冊(cè)表樹(shù)子項(xiàng)，并阻止“l(fā)sass”進(jìn)程以重新啟動(dòng)受感染的設(shè)備。

　　總結(jié)

　　近年來(lái)，勒索軟件組織從零散的組織發(fā)展成為具有鮮明產(chǎn)業(yè)特征的企業(yè)。因此，攻擊變得更加復(fù)雜和更有針對(duì)性，使受害者面臨更多威脅。