.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
本文會分析一種名為BabLock(又名Rorschach)的勒索軟件,它與LockBit有許多共同的特點。
最近,一種名為BabLock(又名Rorschach)的勒索軟件因其複雜而快速的攻擊鏈而引起轟動,該軟件使用的技術非常有創新性。雖然主要基於LockBit,但也汲取了其他不同勒索軟件部分的功能,並最終組合成為BabLock(檢測為Ransom.Win64.LOCKBIT.THGOGBB.enc)。 LockBit現在已經開始第三次迭代。
我們會在本文中詳細介紹它的攻擊鏈,並分析其可能的起源。
發現過程2022年6月,研究人員發現了一個勒索軟件(後來被證明是BabLock),它使用了一種獨特的附加擴展方式,而不是勒索軟件攻擊中通常使用的“一個樣本,一個擴展”方法,我們發現,攻擊者在針對這種特定感染的固定勒索軟件擴展的頂部添加了從00-99的數值增量。因此,即使在一台受感染的計算機上,一次執行也可能產生多個擴展變體。
該勒索軟件的獨特特徵是顯示擴展的數值增量
調查發現,勒索軟件總是以多組件包的形式部署,主要由以下文件組成:
加密的勒索軟件文件config.ini;
惡意側載DLL (DarkLoader, config.ini解密器和勒索軟件注入器);
用於加載惡意DLL的非惡意可執行文件;
使用正確密碼執行非惡意二進製文件的CMD文件。
在一個感染實例中發現的主要勒索軟件包
DarkLoader DLL將檢查特定的命令,特別是--run,它會檢查啟動加密過程所需的正確的4位密碼。雖然它對config.ini本身的內容的解包意義不大,但如果提供正確,DLL將執行基本的勒索軟件例程。
如果在命令行中添加了正確的密碼,勒索軟件將繼續進行整個加密過程
一旦DLL組件被非惡意可執行文件加載,它將立即在當前可執行文件的路徑中查找config.ini文件。一旦找到它,DLL將解密config.ini,然後用一組特定的命令行執行notepad.exe。
在這個異常的活動中,研究人員發現了一些顯著且一致的模式:
主要的勒索軟件二進製文件通常以加密的config.ini文件的形式發送;
DarkLoader是通過使用合法可執行文件的DLL側加載來執行的;
config.ini文件由專門為這些活動設計的自定義加載程序解密(檢測為Trojan.Win64.DarkLoader);
在同一受感染的計算機中,BabLock為每個文件的擴展名字符串附加一個從00到99的隨機數(例如,extn00-extn99作為同一感染中的擴展名);
任何DarkLoader DLL都可以用來解密任何加密的勒索軟件config.ini,不需要特定的二進製配對。
DarkLoader DLL使用Direct SysCall API來選擇幾個但重要的調用,以避免API讀取分析。解密後的BabLock勒索軟件總是使用VMProtect進行反虛擬化。
BabLock是通過掛鉤API Ntdll的攻擊注入加載的。 RtlTestBit跳轉到包含勒索軟件代碼的內存。
針對不同攻擊的密碼有幾種變體,但它們都在一定的範圍內。
提供給notepad.exe的命令行參數,用於在最近的攻擊中加載和執行勒索軟件
DLL使用幾個直接的SysCall指令來避免API讀取
notepad.exe文件被注入到RtlTestBit的API調用線程中,該線程已被修復/掛起以跳轉到惡意例程
精妙的攻擊技術在2022年6月首次發現BabLock時,研究人員搜索了類似的文件,發現這些文件的最早記錄可以追溯到2022年3月。在發現這一點後,研究人員想弄清楚它是如何逃避檢測這麼長時間的。
自2022年6月以來,只有少數幾起涉及該勒索軟件的記錄事件,包括最近的一起。由於數量較少,截至撰寫本文時,還沒有涉及地區、行業或受害者資料的統計數據。
BabLock勒索軟件相關事件
然而,由於其顯著特徵,與BabLock相關的攻擊可以很容易地識別。如上所述,在每次文件加密後,勒索軟件都會在其硬編碼擴展名中添加一個介於00-99之間的隨機數字符串,這導致相同的勒索軟件擴展多達100種不同的變體。
顯示將00-99之間的隨機數字符串附加到加密文件的代碼片段
它還有一個相當複雜的執行例程:
它使用特定的數字代碼來正確執行;
它將包拆分為多個組件;
它將實際有效負載拆解並隱藏到加密文件中;
它使用普通應用程序作為加載程序;
最後,BabLock使用公開可用的工具作為其感染鏈的一部分。我們發現最常用的工具如下:
Chisel-傳輸控制協議(TCP)和用戶數據報協議(UDP)通道;
Fscan-一個掃描工具;
通過使用這兩個工具,再加上擁有設置活動目錄(AD)組策略的功能的BabLock/LockBit,攻擊者可以毫不費力地在網絡中翱翔。
BabLock與LockBit等勒索軟件的異同根據調查,BabLock使用的大多數例程與Lockbit(2.0)的關係密切。除此之外,它還與Babuk、Yanloowang等勒索軟件存在相似之處。
最初,由於勒索通知的相似性,我們懷疑它與DarkSide勒索軟件有關。然而,與DarkSide勒索軟件不同,BabLock通過執行以下命令行來刪除卷影副本:
因此,研究人員立即排除了這種關係,因為它不同於DarkSide的操作,即通過Windows Management Instrumentation(WMI)和PowerShell刪除卷影副本(這在技術上更複雜,很難通過標準監控工具檢測到)。
勒索軟件二進製文件解密並執行命令行以刪除卷影副本
Lockbit(2.0)的一個共同特徵是使用相同的組策略來生成桌面放置路徑。同樣,使用vssadmin刪除卷影副本也是LockBit攻擊中大量使用的例程(儘管也是許多現代勒索軟件的常見例程)。儘管如此,這種相似之處還是不可思議的。此外,它運行相同的命令來為AD執行GPUpdate。因此,該勒索軟件的檢測仍屬於LockBit家族。
將BabLock生成桌面放置路徑的組策略(左)與LockBit的組策略進行比較(右)
BabLock看起來像是一個由不同的已知勒索軟件家族拼接而成的怪物。
BabLock與其他勒索軟件家族的相似之處
總結研究人員發現BabLock時已經是其第三個迭代版了。然而,由於其大部分結構仍然類似於Lockbit v2.0,我們推測這可能來自另一個分支機構或組織。 LockBit v3.0發布近一年來,即使在最近的攻擊中,研究人員也沒有發現BabLock的有效負載發生任何變化,這進一步說明它與實際的LockBit組織既沒有聯繫。據分析,BabLock背後的攻擊者成功地利用了LockBit v2.0的許多基本功能,並添加了不同勒索軟件家族功能,以創建他們自己的獨特變體,這些變體可能在未來進一步增強。
安全建議如下:
對資產和數據進行盤點;
識別授權和未經授權的設備和軟件;
審計事件和事件日誌;
管理硬件和軟件配置;
僅在必要時授予員工角色的管理權限和訪問權限;
監控網絡端口、協議和服務;
建立只執行合法應用程序的軟件許可列表;
實施數據保護、備份和恢復措施;
啟用多因素身份驗證(MFA);
將最新版本的安全解決方案部署到系統的所有層,包括電子郵件、端點、web和網絡;
注意攻擊的早期跡象,例如係統中存在可疑工具;
實施多方面的方法可以幫助組織保護其係統(如端點、電子郵件、web和網絡)的潛在入口點。