趨勢 1：攻擊者正在嘗試開發(fā)跨平臺勒索軟件

　　由于多年來越來越流行的大型狩獵 (BGH) 計劃，攻擊者已經(jīng)滲透到越來越復(fù)雜的系統(tǒng)環(huán)境中。為了造成盡可能多的破壞并使恢復(fù)變得非常困難，他們試圖對盡可能多的系統(tǒng)進(jìn)行加密。這意味著他們的勒索軟件應(yīng)該能夠在不同的架構(gòu)和操作系統(tǒng)組合上運(yùn)行。

　　克服這個問題的一種方法是使用“跨平臺編程語言”（例如 Rust 或 Golang）編寫勒索軟件。使用跨平臺語言還有其他幾個原因。例如，即使勒索軟件目前可能針對一個平臺，但將其寫入跨平臺可以更容易地將其移植到其他平臺。另一個原因是跨平臺二進(jìn)制文件的分析比用純 C 編寫的惡意軟件要難一些。

　　Conti 跨平臺功能

　　Conti 是一個開展 BGH 的組織，其目標(biāo)是全球范圍內(nèi)的各種組織。就像許多其他 BGH 組織一樣，它使用雙重勒索技術(shù)。

　　我們注意到，只有某些關(guān)聯(lián)公司才能訪問針對 ESXi 系統(tǒng)的 Conti 勒索軟件的 Linux 變體。它支持各種不同的命令行參數(shù)，會員可以使用這些參數(shù)來自定義執(zhí)行。Linux 版本支持以下參數(shù)：

　　detach：示例在后臺執(zhí)行，并與終端分離；

　　log：出于調(diào)試目的，指定文件名后，Conti 會將操作寫入日志文件；

　　path：Conti 需要這個路徑來加密系統(tǒng)。使用選定的路徑，勒索軟件將遞歸加密整個文件夾結(jié)構(gòu)；

　　prockiller：此標(biāo)志允許勒索軟件阻止那些具有選定文件進(jìn)行加密的進(jìn)程；

　　size：函數(shù)未實現(xiàn)；

　　vmlist：用于在加密過程中跳過虛擬機(jī)的標(biāo)志；

　　vmkiller：它將終止 ESXi 生態(tài)系統(tǒng)的所有虛擬機(jī)；

　　BlackCat 跨平臺功能

　　BlackCat 于 2021 年 12 月開始在暗網(wǎng)上提供服務(wù)。盡管該惡意軟件是用 Rust 編寫的，但我們發(fā)現(xiàn)了一些與 BlackMatter 組織相關(guān)的攻擊示例，因為該攻擊者使用了與之前在 BlackMatter 活動中觀察到的相同的自定義滲透工具。由于 Rust 的交叉編譯功能，我們很快就找到了同樣適用于 Linux 的 BlackCat 示例。

　　BlackCat 的 Linux 示例與 Windows 非常相似。在功能方面，它稍微多一些，因為它能夠關(guān)閉設(shè)備并刪除 ESXi 虛擬機(jī)。典型的 Windows 功能（例如，通過 cmd.exe 執(zhí)行命令）被刪除，并被Linux的等效功能取代，因此勒索軟件在其運(yùn)行的不同平臺上仍然具有相同的功能。

　　Deadbolt 跨平臺功能

　　Deadbolt 是一個以跨平臺語言編寫的勒索軟件示例，但目前僅針對QNAP NAS 系統(tǒng)。它也是 Bash、HTML 和 Golang 的有趣組合。Deadbolt 本身是用 Golang 編寫的，贖金通知是一個HTML文件，它取代了QNAP NAS使用的標(biāo)準(zhǔn)索引文件，如果提供的解密密鑰是正確的，則使用Bash腳本啟動解密過程。這個勒索軟件還有一個特別之處：它不需要與攻擊者進(jìn)行任何交互，因為在比特幣交易的 OP_RETURN 字段中提供了解密密鑰。Bash 文件如下所示。

　　趨勢 2：勒索軟件生態(tài)系統(tǒng)正在變得更加“工業(yè)化”

　　就像合法的軟件公司一樣，網(wǎng)絡(luò)犯罪組織也在不斷地為自己和他們的客戶開發(fā)他們的工具包，例如，使數(shù)據(jù)泄露的過程更快、更容易。攻擊者有時會使用的另一個技巧是重新命名他們的勒索軟件，在這個過程中一點點改變。讓我們深入研究一下勒索軟件組織最近使用的新工具和“商業(yè)”策略。

　　自 2019 年以來最成功的 RaaS—— Lockbit 的演變

　　Lockbit 始于 2019 年，然后在 2020 年宣布了其附屬計劃。隨著時間的推移，該組織一直在積極迭代，如下圖所示：

　　該組織在開始進(jìn)行惡意活動時，沒有任何泄密網(wǎng)站，沒有進(jìn)行雙重勒索，也沒有數(shù)據(jù)加密前的數(shù)據(jù)泄露。

　　隨著時間的推移，基礎(chǔ)設(shè)施也得到了改善。與其他勒索軟件家族一樣，Lockbit 的基礎(chǔ)設(shè)施遭受了多次攻擊，迫使該組織實施一些對策來保護(hù)其資產(chǎn)。這些攻擊包括對 Lockbit 管理面板的黑客攻擊和 DDOS 攻擊，以迫使該組織關(guān)閉其活動。

　　Lockbit 開發(fā)人員添加的最新安全功能是“等待頁面”，可以將用戶重定向到一個可用的鏡像。

　　StealBIT：Lockbit 勒索軟件使用的自定義數(shù)據(jù)泄露工具

　　當(dāng)組織實施雙重勒索時使用的數(shù)據(jù)泄露可以通過許多不同的方式進(jìn)行。最初，攻擊者使用諸如 Filezilla 等公開可用的工具，然后用他們自己的自定義工具（如 StealBIT）取而代之。原因如下：

　　公開可用的工具并不總是以速度著稱。對勒索軟件運(yùn)營商來說，速度很重要，因為竊取數(shù)據(jù)的時間越長，勒索軟件運(yùn)營商被抓住的幾率就越大。

　　靈活性是另一個原因。標(biāo)準(zhǔn)工具的設(shè)計并沒有考慮到勒索軟件運(yùn)營商的要求。例如，使用大多數(shù)工具，可以僅將數(shù)據(jù)上傳到一臺主機(jī)。如果該主機(jī)已關(guān)閉，則必須手動指定另一臺主機(jī)。犯罪基礎(chǔ)設(shè)施被摧毀或落入LEA手中的可能性總是存在的。為了提供更大的靈活性并克服這些限制，StealBIT提供了一個數(shù)據(jù)可以被竊取到的硬編碼主機(jī)列表。如果第一個主機(jī)由于某種原因關(guān)閉，則嘗試第二個主機(jī)。

　　勒索軟件運(yùn)營商的要求是公開可用的工具無法滿足的。其中一項要求是不泄露所有數(shù)據(jù)，而只泄露有趣的數(shù)據(jù)。在 StealBIT 中，這是通過硬編碼應(yīng)提取的擴(kuò)展列表來實現(xiàn)的。另一個功能是在上傳數(shù)據(jù)時發(fā)送附屬 ID。

　　在下圖中，研究人員將數(shù)據(jù)泄露與其他工具的數(shù)據(jù)泄露進(jìn)行了比較：

　　SoftShade 部署 Fendr 滲透客戶端

　　Fendr，也稱為 Exmatter，是一種惡意數(shù)據(jù)泄露工具，被 BlackMatter、Conti 和 BlackCat 等多個勒索軟件組織使用。在我們觀察到的所有 BlackMatter 和 Conti 事件中都沒有看到 Fendr，但我們確實在所有與 BlackCat 相關(guān)的事件中看到了它們。因此，我們認(rèn)為 Fendr 被參與了一些附屬計劃。

　　在SoftShade內(nèi)部，開發(fā)人員將其稱為“file_sender”和“sender2”。該惡意軟件是用 C# .Net 編寫的，并且經(jīng)常與 BlackMatter 和 Conti 惡意軟件一起部署為打包的 .Net 可執(zhí)行文件，但與 Conti 和 BlackCat 勒索軟件一起部署的大多數(shù)示例都沒有打包（2021 年 11 月的一次 Conti 事件除外）。它旨在有效管理受害系統(tǒng)上的大量選擇性文件收集和上傳活動，然后將其從系統(tǒng)中刪除。Fendr 由多個開源庫構(gòu)建而成，它的設(shè)計顯然是在勒索軟件領(lǐng)域成熟和專業(yè)經(jīng)驗的結(jié)果，可以處理各種Windows系統(tǒng)和網(wǎng)絡(luò)上任意的大文件量。

　　同樣有趣的是 Fendr 及其選擇的勒索軟件的部署和打包，在每個附屬計劃中（除了一次 Conti 事件），勒索軟件和 Fendr 通過網(wǎng)絡(luò)同時傳送到多個系統(tǒng)，如“v2.exe”和“v2c.exe”，或“v2.exe”和“sender2.exe”。這種同步推動似乎優(yōu)先考慮協(xié)調(diào)和效率，而不是提高被發(fā)現(xiàn)的風(fēng)險。在一個與const相關(guān)的異常中，一個Fendr變體被作為“\\hostname\$temp\sender2.exe”通過網(wǎng)絡(luò)推送到許多系統(tǒng)。

　　趨勢3：勒索軟件組織在地緣政治沖突中會出現(xiàn)政治偏向

　　攻擊者利用新聞頭條來實現(xiàn)他們的惡意目標(biāo)。研究人員在全球 Covid-19 初始階段看到了這一點，當(dāng)時與 Covid-19 相關(guān)的垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件激增。2022年俄烏沖突也是如此。

　　通常在這樣的地緣政治沖突中，人們會將網(wǎng)絡(luò)攻擊的源頭與國家支持的攻擊組織聯(lián)系起來。但事實并非總是如此，因為我們注意到，在這場沖突中，出現(xiàn)了一種新型的參與方式：網(wǎng)絡(luò)犯罪論壇和勒索軟件組織對形勢做出反應(yīng)，并采取行動。

　　2 月 25 日，Conti 在其新聞網(wǎng)站上發(fā)布了一條消息，聲明如果俄羅斯成為網(wǎng)絡(luò)攻擊的目標(biāo)，它將以全部能力對任何“敵人”的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行報復(fù)。這可能是網(wǎng)絡(luò)犯罪組織公開支持民族國家的罕見例子。結(jié)果，一名據(jù)稱是烏克蘭人的成員在網(wǎng)上分享了聊天和其他內(nèi)部 Conti 相關(guān)信息。

　　Conti 勒索軟件組織在其新聞網(wǎng)站上發(fā)布警告消息

　　另一方面，還有其他社區(qū)，如“匿名者”、“烏克蘭IT軍”和“白俄羅斯網(wǎng)絡(luò)游擊隊”公開支持烏克蘭。

　　沖突開始期間幾個組織和論壇的立場如下圖所示：

　　Freeud：具有清除功能的全新勒索軟件

　　卡巴斯基最近發(fā)現(xiàn)了支持烏克蘭的全新勒索軟件變種 Freeud。Freeud的勒索信說俄羅斯軍隊?wèi)?yīng)該離開烏克蘭。單詞的選擇和筆記的書寫方式表明它是由以俄語為母語的人寫的。惡意軟件開發(fā)者的政治觀點不僅通過贖金票據(jù)表達(dá)，還通過惡意軟件功能表達(dá)。其中之一是清除功能。如果惡意軟件包含文件列表，而不是加密，惡意軟件會將它們從系統(tǒng)中清除。

　　另一個突出的特性是惡意軟件的高質(zhì)量，其應(yīng)用的加密方法和使用多線程的方式突出了這一點。

　　GoRansom

　　GoRansom 于 2 月底在烏克蘭被發(fā)現(xiàn)，同時進(jìn)行了 HermeticWiper 攻擊。GoRansom 所做的一些事情與其他勒索軟件變體不同：

　　它會創(chuàng)建數(shù)百個副本并運(yùn)行它們；

　　函數(shù)命名方案參考美國總統(tǒng)選舉；

　　沒有混淆，它具有非常簡單的功能；

　　出于這些原因，我們認(rèn)為它的創(chuàng)建是為了提高烏克蘭網(wǎng)絡(luò)行動的效率。

　　Stormous

　　大多數(shù)情況下，當(dāng)我們分析 PHP 代碼時，它要么是 web shell，要么是一些僵尸網(wǎng)絡(luò)面板代碼。Stormous是少數(shù)例外。除了作為后門之外，它還包含勒索軟件功能。攻擊者尋找支持 PHP 技術(shù)的 Web 服務(wù)器和易受 Web 應(yīng)用程序攻擊的漏洞。

　　對惡意軟件的分析表明，攻擊者是來自北非地區(qū)的阿拉伯。

　　PHP 腳本提供了一個通過 HTTP 進(jìn)行遠(yuǎn)程交互的 Web 界面，其中提供了幾個加密選項：“OpenSSL”、“Mcrypt”和“Xor”。很有可能是由于目標(biāo)服務(wù)器的外部考慮因素，比如運(yùn)行在服務(wù)器上的PHP版本，所以將這三個擴(kuò)展開發(fā)到腳本中。

　　DoubleZero wiper瞄準(zhǔn)烏克蘭

　　DoubleZero wiper最初由烏克蘭 CERT 于 3 月 22 日發(fā)布。它是用 C# 編寫的全新wiper；它與任何其他已知的wiper都不同，并且僅針對烏克蘭實體。二進(jìn)制文件本身被未知的 C# 混淆器嚴(yán)重混淆。類和方法名是隨機(jī)生成的。

　　混淆

　　控制流是使用一種功能扁平化機(jī)制來組織的，這種機(jī)制創(chuàng)建的目的是減緩對惡意代碼的分析。

　　混淆反編譯代碼

　　當(dāng)所有的準(zhǔn)備工作都結(jié)束后，惡意軟件開始它的清除操作。首先，它通過將文件夾名稱與硬編碼列表進(jìn)行比較來檢查用戶（非系統(tǒng)文件），并開始使用一個非常有趣的NtFsControlFile API實現(xiàn)來清除它們。

　　硬編碼的文件夾列表

　　文件清除

　　NtFsControlFile 例程將控制代碼直接發(fā)送到指定的文件系統(tǒng)或文件系統(tǒng)過濾器驅(qū)動程序，使相應(yīng)的驅(qū)動程序執(zhí)行指定的操作。如上圖所示，控制代碼的值為622792 (0x980C8in十六進(jìn)制)，對應(yīng) FCSTL 結(jié)構(gòu)的 FSCTL_SET_ZERO_DATA 控制代碼。文件中的數(shù)據(jù)將被 intPtr2 變量指向的零值覆蓋。如果函數(shù)失敗，wiper 將執(zhí)行標(biāo)準(zhǔn)的 .Net FileStream.Write 函數(shù)用于相同目的，然后惡意軟件會清除找到的系統(tǒng)文件。

　　最后，惡意軟件會刪除 HKU、HKLM 中的 Windows 注冊表樹子項，并阻止“l(fā)sass”進(jìn)程以重新啟動受感染的設(shè)備。

　　總結(jié)

　　近年來，勒索軟件組織從零散的組織發(fā)展成為具有鮮明產(chǎn)業(yè)特征的企業(yè)。因此，攻擊變得更加復(fù)雜和更有針對性，使受害者面臨更多威脅。