標題：BlackCat開始用一種新策略實施攻擊

BlackCat運營商最近宣布對他們的工具進行更新，包括一個名為Munchkin的實用程序，它允許攻擊者將BlackCat有效負載傳播到遠程設備和受害者組織網絡上的共享。在過去的兩年中，作為勒索軟件即服務(RaaS)商業模式的一部分，BlackCat勒索軟件運營商一直在不斷發展和更新他們的工具。

在最新發現的樣本中，Unit 42的研究人員獲得了一個獨特的Munchkin樣本，因為它加載在自定義的Alpine虛擬機(VM)中。這種利用自定義虛擬機來部署惡意軟件的新策略在最近幾個月得到了越來越多的應用，允許勒索軟件攻擊者使用虛擬機來繞過部署惡意軟件有效負載的安全解決方案。

本文詳細介紹了這個新實用程序的攻擊進程，並進一步闡明了BlackCat攻擊者使用的持續策略。

BlackCat概述BlackCat勒索軟件於2021年11月首次被曝光。這種攻擊因其惡意軟件的複雜性以及使用Rust編程語言等獨特方法而臭名昭著。

與其他勒索軟件類似，BlackCat採用了RaaS商業模式，這種模式允許其他機構有償利用他們的工具，使用機構會獲得大約80-90%的贖金，其餘的則交給運營商。

“BlackCat”組織及其使用機構歷來把目標鎖定在美國境內。然而，隨著時間的推移以及受歡迎程度，攻擊範圍正在逐漸擴大，最近，人們發現BlackCat的目標是全球眾多行業及其垂直行業的受害者。

BlackCat工具集多年來一直在不斷發展。

原始版本僅提供了一個嵌入式JSON配置，並沒有應用混淆或加密。

隨著時間的推移，操作人員更新了惡意軟件家族，以混淆這種底層配置。他們還需要一個唯一的命令行參數來執行惡意軟件。在此過程中，BlackCat阻止了安全人員在此命令行參數不可用的情況下獲得底層有效進行研究。

惡意軟件家族一直在不斷發展，攻擊者採用了更多的功能和混淆機制。最近幾個月，BlackCat發布了一個名為“Munchkin”的新工具。

該工具提供了運行Sphynx(最新的BlackCat變體)的基於linux的操作系統。攻擊者可以使用此實用程序在遠程設備上運行BlackCat，或將其部署到加密遠程服務器消息塊(SMB)或通用互聯網文件共享(CIFS)。

Munchkin進程示意圖

在實際運行中，使用虛擬機運行惡意軟件是一種日益增長的趨勢。據報導，其他勒索軟件組織也利用了這種新策略。

這種方法的好處包括繞過主機操作系統上設置的任何安全控製或保護，例如防病毒軟件。由於這些解決方案通常在嵌入式虛擬化操作系統中沒有自省功能，惡意軟件將經常繞過現有的任何檢查。

在最近的調查中，Unit 42的研究人員能夠獲得這個VM實用程序的副本。因此，我們可以深入了解它是如何工作的。

攻擊過程Munchkin實用程序以ISO文件的形式提供，在VirtualBox虛擬化產品的新安裝樣本中加載。這個ISO文件代表了Alpine操作系統的自定義實現，攻擊者可能會選擇它，因為它佔用空間小。操作系統啟動後，會執行如下命令:

在此過程中，惡意軟件最初將虛擬機的根密碼更改為攻擊者選擇的密碼。它隨後通過內置的tmux實用程序生成一個新的終端會話，該實用程序用於執行名為controller的惡意軟件二進製文件。惡意軟件完成執行後，會關閉虛擬機。

控制器惡意軟件與其他相關文件一起託管在/app目錄中。此外，虛擬機操作系統中還包含其他相關且值得注意的文件。

虛擬機操作系統中包含的文件路徑及有關描述

除了上面提到的文件，大量的Python腳本直接存在於/usr/bin中，BlackCat操作符可以在VM的後續更新中使用這些腳本。

攻擊者可以使用上面的許多Python腳本進行橫向移動、密碼轉儲和在受害者網絡上進一步執行惡意軟件。

控制器惡意軟件是用Rust編程語言編寫的，其方式與BlackCat惡意軟件家族非常相似。在執行時，控制器最初將使用唯一的單字節異或操作解密大量字符串。

運行時的字符串解密

在字符串被解密後，攻擊者將執行基本檢查，以確保預期的配置和有效負載文件駐留在/app目錄中。然後，該攻擊將反序列化並解析/app/config文件，如果這些文件不存在，或者如果它們無法被解析，惡意軟件將自行退出並顯示一條錯誤消息。

/app/config文件包含大量信息，包括控制器惡意軟件樣本隨後使用的以下信息：

訪問令牌；

任務標識符；

受害者憑據（包括用戶名、密碼和域）；

BlackCat受害者URL；

阻止列表的文件類型和路徑；

要加密的目標主機和共享；

解析配置後，控制器創建並掛載/payloads/目錄，用於託管隨後創建的BlackCat樣本。控制器使用前面提到的/app/payload作為模板來創建自定義的BlackCat樣本。在模板文件中，控制器在修改該文件時查找並使用特定的標記。

基於模板和配置創建新的BlackCat示例

所創建的文件基於所提供的配置。但是，它們的命名如下，並帶有增量值:

/payloads/0

/payloads/1創建這些有效負載後，惡意軟件繼續遍歷所提供的配置，目的是感染指定的任何SMB/CIFS驅動器。這些嘗試在寫入STDOUT的各種輸出中進行了概述，其示例如下所示。

注：實際的IP地址和共享名稱已在下面的輸出中進行了編輯。

惡意軟件完全執行後，虛擬機將關閉電源，不再執行進一步的操作。

研究人員發現以下消息嵌入到惡意軟件樣本中，但未使用，它可能在開發的某個階段被包括在內，但後來又被取消。

這條消息似乎是BlackCat的開發者給他們的使用組織的一條消息，敦促他們從不安全的環境中刪除這個文件。看來使用組織並沒有聽從這一建議。

總結惡意軟件的開發者，特別是那些背後的BlackCat勒索軟件使用者，繼續更新和發展他們的技術和戰術，這一點在他們最近發布的“Munchkin”中得到了充分體現。

惡意工具利用虛擬機來阻止主機上存在的安全管理功能，並反檢測方面領先於安全防護。