.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
儘管8Base勒索軟件組織在2023年夏天的活動突然猖獗起來,但仍然相對不為人所知。該組織結合利用加密和“點名羞辱”技術,迫使受害者支付贖金。 8Base採用伺機下手的攻擊模式,最近的受害者遍及各行各業。儘管有大量的攻擊活動,但這些事件背後的身份、方法和潛在動機等方面的信息依然成謎。
8Base當前活動的速度和效率並不表明一個新組織開始問世,而是一家老牌的成熟組織在延續。從目前獲得的信息來看,8Base當前活動的某些方面與我們過去所看到的勒索軟件活動似乎驚人地相似。
8Base勒索軟件:我們所知道的情況
圖1. 8Base勒索軟件組織洩露網站的截圖
8Base是一個勒索軟件組織,自2022年3月以來一直很活躍,在2023年6月活動尤為猖獗。他們自稱是“簡單的滲透測試者”,他們的洩露網站通過常見問題解答(FAQ)和規則這兩部分為受害者提供了詳細信息,並附有多個聯繫方式。值得關注的是,8Base使用的措辭風格與另一家知名組織RansomHouse的措辭異常相似。
圖2. 表明2022年3月至2023年6月8Base勒索軟件組織活動的示意圖
洩露網站上提供的聯繫信息包括如下:
Telegram頻道:https://t[.]me/eightbase
Twitter:@8BaseHome
圖3. 8Base勒索軟件組織Twitter的截圖
8Base勒索軟件組織攻擊的主要行業包括但不限於:商業服務、金融、製造和信息技術業。
圖4. 表明8Base勒索軟件組織攻擊的主要行業的示意圖
雖然8Base勒索軟件組織不一定是一家新組織,但最近活動猖獗卻備受矚目。即使在過去的30天內,它也是戰果最豐碩的兩大勒索軟件組織之一。除了勒索函外,公眾對8Base使用的勒索軟件種類知之甚少,只知道它在加密文件後面添加擴展名“.8base”。
圖5. 對比8Base勒索軟件組織與其他已知勒索軟件組織的受害者統計數據的示意圖
VMware Carbon Black的TAU和MDR-POC團隊進行分析後披露了令人關注的發現結果,並提出了問題:“到底是誰的贖金?”
“誰在勒索?”之謎8Base和RansomHouse我們在剖析8Base時注意到這個組織與另一個組織RansomHouse頗為相似。 RansomHouse是不是一個真正的勒索軟件組織還有待爭論;該組織購買已經洩露的數據,與數據洩露網站狼狽為奸,然後向受害者勒索錢財。
第一個相似之處是在使用自然語言處理模型Doc2Vec對比勒索函的過程中發現的。 Doc2Vec是一種無監督機器學習算法,可以將文檔轉換成向量,可用於識別文檔中的相似性。對比後發現,8Base的勒索函與RansomHouse的勒索函存在99%的匹配度。為了進行比較,我們在下面提供了勒索函的部分內容:
圖6. 8Base(藍色)與RansomHouse(紅色)勒索函的對比
深入研究後,我們對各自的洩露網站進行了橫向比較。我們再次發現兩者所用的措辭如出一轍。
圖7. 8Base(藍色)和RansomHouse(紅色)歡迎頁面的對比
措辭是從RansomHouse的歡迎頁面逐字逐句複製到8Base的歡迎頁面的。兩者的服務條款頁面和常見問題解答(FAQ)頁面也是這種情況,如下所示:
圖8. 8Base(藍色)與RansomHouse(紅色)服務條款頁面的對比
圖9. 8Base(藍色)與RansomHouse(紅色)FAQ頁面的對比
比較這兩個勒索軟件組織後,發現只有兩大區別:首先,RansomHouse宣傳合作夥伴關係,並公開招募合作夥伴,而8Base則不然。
圖10. RansomHouse合作夥伴頁面
這兩個勒索軟件組織之間的第二大區別在於洩露頁面,如下所示:
圖11. RansomHouse(紅色)和8Base(藍色)洩露頁面
考慮到兩者之間的相似性,我們不禁要問:8Base有沒有可能是RansomHouse的分支還是模仿者。遺憾的是,RansomHouse以使用黑市上各種各樣的勒索軟件而臭名昭著,沒有自己的標誌性勒索軟件,因而很難比較。值得關注的是,我們在研究8Base時也沒能找到一個勒索軟件的變種。我們偶然發現了兩份截然不同的勒索函:一份與RansomHouse的相符,另一份與Phobos的相符。這就引出了一個問題:如果8Base與RansomHouse一樣也由使用不同的勒索軟件來運營,那麼8Base就是RansomHouse的分支嗎?
8Base和Phobos勒索軟件當搜索8Base勒索軟件組織使用的勒索軟件樣本時,加密文件上使用“.8base”擴展名的Phobos樣本被恢復。這可能是他們將要使用的勒索軟件的早期版本,還是8Base使用勒索軟件變種來攻擊受害者?比較Phobos和8Base樣本後發現,8Base使用的是Phobos勒索軟件版本2.9.1,SmokeLoader用於入站初始混淆以及勒索軟件的解包和加載。由於Phobos勒索軟件可通過勒索軟件即服務(RAAS)來獲取,這不足為奇。從8Base的勒索函可以看出,攻擊者可以根據其要求來定制部分內容。雖然勒索函很相似,但關鍵的區別包括:Phobos勒索軟件的上下兩個角落都有Jabber指令和“phobos”,而8Base在上角有“cartilage”、紫色背景,沒有Jabber指示,如下圖所示:
圖12. 8Base(藍色)與Phobos(紅色)勒索函的對比
儘管8Base添加了自己的品牌定制,為加密文件附加了“.8base”,但整個附加部分的格式與Phobos相同,包括ID部分、電子郵件地址以及文件擴展名。
圖13. 8Base(藍色)和Phobos(紅色)件擴展名的對比
似乎是8Base勒索軟件組織獨有的其他分析結果包括:8Base樣本是從域名admlogs25[.]xyz下載的,該域名似乎與SystemBC這個代理和遠程管理工具相關聯。 SystemBC已被其他勒索軟件組織用來加密和隱藏攻擊者的指揮和控制流量的目的地。
VMware Carbon Black Detection作為一款端點檢測和響應產品,VMware Carbon Black Managed Detection and Response可以有效地檢測勒索軟件和類似勒索軟件的行為。我們在文章末尾附有攻陷指標部分,可以用於創建檢測和防止8Base勒索軟件執行的規則。
VMware Carbon Black有一個活躍的規則集,用於檢測所有勒索軟件類型的惡意軟件。該規則集足以檢測和防止惡意軟件,並為客戶提供主動保護。建議活躍的客戶確保啟用該規則集。
當然,從一開始就試圖阻止勒索軟件運行很重要。正如報告中所述,8Base使用SystemBC來加密指揮和控制流量,並使用Smokeloader,以便入站初始混淆勒索軟件、完成Phobos勒索軟件的解包和加載。防止這種活動的建議包括如下:
警惕網絡釣魚郵件:許多附有Smokeloader的威脅是通過網絡釣魚郵件投遞的。確保員工了解網絡釣魚電子郵件技術是做好防範工作的關鍵。
確保正確配置網絡監控工具(SIEM解決方案),以防止任何惡意軟件連接到指揮和控制服務器。攻陷指標部分附有域名。
下面所附的攻陷指標對於尋找威脅搜尋而言非常有價值。這些指標是識別潛在安全漏洞和惡意活動的必要工具。如果充分利用這些指標,安全專業人員就能積極主動地調查和消除威脅,並確保系統的完整性和安全性。如果謹慎地搜索威脅和利用這些指標,組織就可以提前防範潛在風險,並保持強大的安全態勢。
總結考慮到8Base的性質,我們目前只能推測他們在使用幾種不同類型的勒索軟件——要么是早期變種,要么是正常活動程序的一部分。我們只知道,這個組織非常活躍,找小企業下手。
8Base到底是Phobos還是RansomHouse的分支還有待觀察。值得關注的是,8Base與RansomHouse幾乎相同,並使用Phobos勒索軟件。目前,8Base仍然是今年這個夏天最活躍的勒索軟件組織之一。
MITRE ATTCK威脅知情防禦(TID):
戰術
技術
描述
TA0003 持久性
T1547.001註冊表運行鍵/啟動文件夾
添加以下內容:
%AppData%\Local\{malware}%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\{malware}%AppData%\Roaming\Microsoft\Start Menu\Programs\Startup\{malware}
TA0007 發現
T1135網絡共享發現
使用WNetEnumResource()搜索網絡資源
TA0004 特權提升
T1134.001令牌冒充/盜竊
使用DuplicateToken()調整令牌特權
TA0005 防禦規避
T1562.001禁用或篡改工具
終止一長串進程,這些進程結合了常用的應用程序(比如MS Office應用程序)和安全軟件
TA0005 防禦規避
T1027.002 經過混淆處理的文件或信息:軟件打包
SmokeLoader解包Phobos並加載到內存中
TA0040 影響
T1490阻止
系統恢復
運行:
wmic shadowcopy delete
wbadmin delete catalog -quiet
vssadmin delete shadows /all /quiet
bcdedit /set {default} recoveryenabled no
bcdedit /set {default} bootstatuspolicy ignoreallfailures
TA0040 影響
T1486數據加密影響
使用AES加密文件
攻陷指標指標
類型
上下文
518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c
SHA-256
8Base 勒索軟件(Phobos變種)
5BA74A5693F4810A8EB9B9EEB1D69D943CF5BBC46F319A32802C23C7654194B0
SHA-256
8Base勒索函(RansomHouse 變種)
20110FF550A2290C5992A5BB6BB44056
MD5
8Base勒索函(RansomHouse 變種)
3D2B088A397E9C7E9AD130E178F885FEEBD9688B
SHA-1
8Base勒索函(RansomHouse 變種)
e142f4e8eb3fb4323fb377138f53db66e3e6ec9e82930f4b23dd91a5f7bd45d0
SHA-256
8Base勒索軟件(Phobos變種)
5d0f447f4ccc89d7d79c0565372195240cdfa25f
SHA-1
8Base勒索軟件(Phobos變種)
9769c181ecef69544bbb2f974b8c0e10
MD5
8Base勒索軟件(Phobos變種)
C6BD5B8E14551EB899BBE4DECB6942581D28B2A42B159146BBC28316E6E14A64
SHA-256
8Base勒索軟件(Phobos變種)
518544E56E8CCEE401FFA1B0A01A10CE23E49EC21EC441C6C7C3951B01C1B19C
SHA-256
8Base勒索軟件(Phobos變種)
AFDDEC37CDC1D196A1136E2252E925C0DCFE587963069D78775E0F174AE9CFE3
SHA-256
8Base勒索軟件(Phobos變種)
wlaexfpxrs[.]org
將數據發佈到URL
8Base勒索軟件引薦域名(Phobos變種)
admhexlogs25[.]xyz
向URL發送數據獲取請求
8Base勒索軟件引薦域名
admlogs25[.]xyz
向URL發送數據獲取請求
8Base勒索軟件引薦域名
admlog2[.]xyz
向URL發送數據獲取請求
8Base勒索軟件引薦域名
dnm777[.]xyz
向URL發送數據獲取請求
8Base勒索軟件引薦域名
serverlogs37[.]xyz
將數據發佈到URL
8Base勒索軟件引薦域名
9f1a.exe
文件名
8Base勒索軟件投放的文件
d6ff.exe
文件名
8Base勒索軟件投放的文件
3c1e.exe
文件名
8Base勒索軟件投放的文件
dexblog[.]xyz
向URL發送數據獲取請求
8Base勒索軟件引薦域名
blogstat355[.]xyz
向URL發送數據獲取請求
8Base勒索軟件引薦域名
blogstatserv25[.]xyz
向URL發送數據獲取請求
8Base勒索軟件引薦域名