.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
BlackCat 勒索軟件,也稱為ALPHV,是一種普遍的威脅,也是日益增長的勒索軟件即服務(RaaS) 經濟的典型代表。值得注意的是,它的非傳統編程語言(Rust)、多個目標設備和可能的入口點,以及與大量威脅活動組的關聯。雖然BlackCat 的到達和執行因部署它的攻擊者而異,但結果是相同的。即目標數據被加密,並洩露未繳納贖金用戶的隱私,及“雙重勒索”。
BlackCat 於2021 年11 月首次被發現,最初成為頭條新聞,因為它是最早用Rust 編程語言編寫的勒索軟件家族。通過使用現代語言作為其有效負載,該勒索軟件試圖逃避檢測,尤其是傳統的安全解決方案。 BlackCat 還可以針對多個設備和操作系統發起攻擊。 Microsoft 已觀察到針對Windows 和Linux 設備以及VMWare 實例的成功攻擊。
如上所述,RaaS附屬模型由多個攻擊者組成:訪問代理,他們攻擊網絡並維護持久性,開發工具的RaaS操作員,以及RaaS附屬機構,這些機構在最終發布勒索病毒之前,會進行其他活動,比如在網絡上橫向移動和竊取數據。因此,作為一個RaaS有效負載,BlackCat進入目標組織網絡的方式是不同的,這取決於部署它的RaaS附屬機構。例如,雖然這些攻擊者的常見入口向量包括遠程桌面應用程序和被攻擊的憑據,但我們也看到了一個攻擊者利用Exchange服務器漏洞來獲得目標網絡訪問。此外,至少有兩個已知的附屬公司正在採用BlackCat:DEV-0237(以前部署Ryuk、Conti 和Hive)和DEV-0504(以前部署Ryuk、REvil、BlackMatter 和Conti)。
這種變化和採用顯著增加了組織遇到BlackCat 的風險,並在檢測和防禦它方面帶來挑戰,因為這些攻擊者和組織有不同的策略、技術和程序(TTP)。因此,沒有兩個BlackCat 的部署看起來相同。
人為操作的勒索軟件攻擊(例如部署BlackCat 的那些攻擊)繼續發展,並且仍然是攻擊者通過攻擊獲利的首選方法之一。組織應考慮使用Microsoft 365 Defender 等綜合解決方案補充其安全最佳實踐和策略,該解決方案提供與各種威脅信號相關聯的保護功能,以檢測和阻止此類攻擊及其後續活動。
BlackCat 有效負載部署選項
BlackCat有效負載可以運行的命令列表
用戶帳戶控制(UAC) 繞過BlackCat 可以繞過UAC,這意味著即使負載從非管理員上下文中運行,它也會成功運行。如果勒索軟件沒有以管理權限運行,它會在dllhost.exe 下運行一個輔助進程,該進程具有加密系統上最大數量的文件所需的足夠權限。
域和設備枚舉勒索軟件可以確定給定係統的計算機名稱、設備上的本地驅動器以及設備上的AD 域名和用戶名。該惡意軟件還可以識別用戶是否具有域管理員權限,從而提高其勒索更多設備的能力。
自我傳播BlackCat 發現所有連接到網絡的服務器。該過程首先廣播NetBIOS 名稱服務(NBNC) 消息來檢查這些附加設備。然後,勒索軟件嘗試使用配置中指定的憑據通過PsExec 在應答服務器上複製自身。
阻礙恢復的辦法BlackCat 有許多阻礙恢復的辦法。以下是有效負載可能啟動的命令及其用途:
修改引導加載程序
刪除卷影副本
清除Windows 事件日誌
識別可能導致BlackCat 勒索軟件的攻擊與RaaS 模型一致,攻擊者利用BlackCat 作為其正在進行的活動的額外負載。雖然它們的TTP 基本保持不變(例如,使用Mimikatz 和PsExec 等工具部署勒索軟件有效負載),但與BlackCat 相關的攻擊具有不同的入口向量,具體取決於進行攻擊的勒索軟件附屬機構。因此,這些攻擊的勒索步驟也可能明顯不同。
例如,部署BlackCat 的一家附屬機構利用未打補丁的Exchange 服務器或使用被盜憑據訪問目標網絡。
案例研究1:通過未打補丁的Exchange進入在此案例中,攻擊者利用未打補丁的Exchange服務器進入目標組織。
通過Exchange漏洞利用觀察到BlackCat勒索軟件攻擊鏈
在利用Exchange漏洞時,攻擊者啟動了以下發現命令,以收集有關他們攻擊的設備信息:
Cmd.exe,ver,systeminfo ——用於收集操作系統信息;
net.exe——確定環境中的域計算機、域控制器和域管理員;
執行這些命令後,攻擊者瀏覽目錄並發現了一個密碼文件夾,該文件夾授予他們訪問帳戶憑據的權限,他們可以在攻擊的後續階段使用。他們還使用del 命令刪除與他們最初的洩露活動相關的文件。
然後,攻擊者利用網絡使用和竊取的憑證來安裝一個網絡共享,並開始使用多種方法的組合來尋找潛在的橫向移動目標。首先,他們使用之前收集的設備名稱作為節點的WMIC.exe,啟動命令whoami /all,並ping google.com以檢查網絡連接。然後,結果的輸出被寫入掛載的共享上的.log文件。其次,攻擊者使用PowerShell.exe和cmdlet Get-ADComputer以及一個過濾器來收集最後一次登錄事件。
擴大攻擊面兩天半後,攻擊者通過交互式登錄使用洩露的憑據登錄了他們在初始發現工作中發現的目標設備。他們選擇了一種憑據盜竊技術,該技術不需要刪除防病毒產品可能檢測到的Mimikatz 之類的文件。相反,他們打開了Taskmgr.exe,創建了LSASS.exe 進程的轉儲文件,並將文件保存到ZIP 壓縮文件中。
攻擊者使用ADRecon (ADRecon.ps1) 的PowerShell 腳本版本繼續他們之前的發現工作,該工具旨在收集有關Active Directory (AD) 環境的大量信息。攻擊者使用網絡掃描工具跟進此操作,該工具在服務器消息塊(SMB) 和遠程桌面協議(RDP) 上打開與組織中設備的連接。對於發現的設備,攻擊者試圖導航到各種網絡共享,並使用遠程桌面客戶端(mstsc.exe) 登錄這些設備,再次使用洩露的帳戶憑據。
這些行為持續了好幾天,攻擊者登錄整個組織的眾多設備,轉儲憑據,並確定他們可以訪問哪些設備。
竊取並公開信息在攻擊者登錄的許多設備上,他們試圖從該組織收集和竊取大量數據,包括域設置、信息和知識產權。為此,攻擊者使用了MEGAsync和Rclone,它們被重命名為合法的Windows進程名稱(例如,winlogon.exe, mstsc.exe)。
提取區域信息以識別橫向運動目標收集域信息允許攻擊者進一步進行攻擊,因為所述信息可以識別橫向移動的潛在目標,或幫助攻擊者發現勒索病毒有效負載的目標。為此,攻擊者再次使用帶有大量PowerShell cmdlet 的ADRecon.ps1,例如:
Get-ADRGPO——獲取域中的組策略對象(GPO);
Get-ADRDNSZone——獲取域中的所有DNS 區域和記錄;
Get-ADRGPLink——獲取應用於域中管理範圍的所有組策略鏈接;
此外,攻擊者釋放並使用ADFind.exe命令來收集個人、計算機、組織單位和信任信息,並ping通數十個設備來檢查連接。
雙重勒索為了雙重勒索,攻擊者以SQL數據庫為目標,收集數據。他們還瀏覽了他們可以訪問的每個設備的目錄和項目文件夾,然後竊取了他們在這些設備中找到的數據。
贖金要求攻擊者從最初的攻擊到部署勒索軟件足足花了兩週時間,因此,有必要對警報活動進行分類和檢查,以了解攻擊者從他們的活動中獲得的賬戶和訪問範圍。使用PsExec.exe傳播勒索軟件負載被證明是最常見的攻擊方法。
成功感染後,BlackCat顯示的贖金提示
案例研究2:通過盜竊的憑證發起攻擊在這個案例中,研究人員發現了一個勒索軟件附屬公司通過一個面向互聯網的遠程桌面服務器使用被攻擊的憑據登錄獲得了對環境的初始訪問權。
通過被盜憑證觀察到BlackCat勒索軟件攻擊鏈
擴大攻擊面一旦攻擊者獲得對目標環境的訪問權,他們就使用SMB複製並啟動Total Deployment Software管理工具,從而允許遠程自動化軟件部署。安裝此工具後,攻擊者使用它安裝遠程桌面軟件應用程序ScreenConnect(現稱為ConnectWise)。
竊取憑據ScreenConnect用於在設備上建立遠程會話,允許攻擊者進行交互控制。在他們的控制下,攻擊者使用cmd.exe來更新註冊表,以允許通過WDigest進行明文認證,從而節省了攻擊者不需要破解密碼哈希值的時間。不久之後,他們使用任務管理器轉儲lasss .exe進程來竊取密碼,現在是明文形式。
八小時後,攻擊者重新連接到設備並再次竊取憑據。然而,這一次,他們放棄並啟動了Mimikatz 用於憑證盜竊例程,可能是因為它可以獲取存儲在LSASS.exe 之外的憑證。攻擊者隨後退出。
持久性和加密之後,攻擊者使用他們新創建的用戶帳戶登錄,並開始釋放和啟動勒索軟件有效載荷。此帳戶還將作為ScreenConnect 及其在環境中的其他立足點之外的額外持久性手段,以允許他們在需要時重新建立自己的存在。如果訪問權限未完全修復,勒索軟件攻擊者不會兩次勒索同一組織。
Chrome.exe 用於導航到託管BlackCat 有效負載的域。值得注意的是,文件夾結構包括組織名稱,表明這是專門為組織預先準備的有效負載。最後,攻擊者在設備上啟動了BlackCat 有效載荷來加密其數據。
勒索軟件附屬機構部署BlackCat除了前面討論的事件外,我們還觀察到與勒索軟件部署相關的兩個最多產的附屬組織已轉向部署BlackCat。負載切換是一些RaaS附屬公司的典型做法,以確保業務連續性或有更好的利潤可能性。不幸的是,對於組織而言,這種採用進一步增加了檢測相關威脅的挑戰。
Microsoft 將這些附屬組織命名為DEV-0237。 DEV-0237 也稱為FIN12,該組織以傳播Hive、Conti 和Ryuk 勒索軟件而聞名。研究人員觀察到,該組織從2022年3月開始將BlackCat加入了他們的分佈式有效負載清單。他們從上次使用的有效負載(Hive) 切換到BlackCat 被懷疑是由於圍繞後者解密方法的公開討論。
DEV-0504是另一個活躍的附屬組織,我們看到他們轉向BlackCat進行勒索軟件攻擊。像許多RaaS附屬組一樣,在DEV-0504攻擊中可能會觀察到以下TTP:
可能涉及附屬機構遠程登錄到憑據被攻擊的設備的入口向量,例如登錄到運行允許遠程工作的軟件解決方案的設備;
攻擊者利用他們的訪問權限對域進行發現;
可能使用初始被盜帳戶的橫向移動;
使用Mimikatz 和Rubeus 等工具竊取憑據;
DEV-0504 通常會使用StealBit 等惡意工具從組織中竊取他們入侵的設備上的數據——通常稱為“send.exe”或“sender.exe”。然後使用PsExec 傳播勒索軟件有效負載。觀察到該組織在2021 年12 月開始採用BlackCat 之前交付了以下贖金:
BlackMatter;
Conti;
LockBit 2.0;
Revil;
Ryuk;
BlackCat勒索軟件的緩解措施BlackCat勒索軟件攻擊已經變得越來越流行,因為它們通過RaaS附屬模型不斷增長的工業化和雙重勒索的增加趨勢。我們所觀察到的與“BlackCat”勒索軟件相關的事件利用了這兩個因素,使得這種威脅對傳統的安全和防禦方法來說是持久的,這些方法只專注於檢測勒索軟件的有效負載。因此,組織必須改變他們的防禦策略,以防止端到端攻擊鏈。如上所述,雖然攻擊者的入口點可能不同,但他們的TTP 基本保持不變。此外,這些類型的攻擊繼續利用組織糟糕的錯誤配置來發起攻擊。
截至目前,在觀察到的與BlackCat相關的事件中,勒索軟件附屬機構的常見入口是通過被洩露的憑證來訪問面向互聯網的遠程訪問軟件和未打補丁的Exchange服務器。因此,維護人員應該檢查其組織的身份,仔細監視外部訪問,並在其環境中找到易受攻擊的Exchange服務器,以便盡快進行更新。