《天际友盟:勒索软件系列报告之二-新兴的勒索软件 BianLian(13页).pdf》由会员分享,可在线阅读,更多相关《天际友盟:勒索软件系列报告之二-新兴的勒索软件 BianLian(13页).pdf(13页珍藏版)》请在三个皮匠报告上搜索。
1、新兴的勒索软件 BianLian新兴的勒索软件 BianLian2022-12双子座实验室新兴的勒索软件 BianLian勒索软件系列报告之二新兴的勒索软件 BianLian目录CONTENTS01 背景02 技术详情03 运营特点04 总结05 附录3新兴的勒索软件 BianLian新兴的勒索软件 BianLian世界经济论坛发布的2022 年全球网络安全展望报告显示,勒索软件攻击在全球网络领导者网络威胁关心问题中排名第一,成为全球广泛关注的网络安全难题。本系列报告正是以当前最为活跃的勒索软件攻击为主题展开,聚焦暗网中多个活跃的勒索软件组织或团伙,梳理各个勒索软件的发展阶段、剖析关键技术细节
2、、盘点重大攻击事件,对勒索软件组织或团伙进行全面画像,希望为未来应对勒索软件攻击提供有力的参考。前言4新兴的勒索软件 BianLian背景技术详情01022.1 开发语言2.2 攻击方式作为 2022 年比较活跃的勒索软件之一,BianLian 勒索软件最早出现在 2021 年 12 月,当时仅限于小规模的攻击活动。直至 2022 年 8 月份,BianLian 勒索软件才开始大规模活跃,主要针对美国(超过 50%)和欧洲多个国家,攻击目标行业遍布教育、制造、金融、医疗、娱乐、建筑、云服务等多个领域,其中医疗领域涉及最多,包括制药、医疗器械、医疗机构等。研究发现,BianLian 勒索软件团伙
3、攻击的目标主要为英语国家,再结合其攻击的行业,可以看出 BianLian 应该是一个以经济利益为目标的团伙,并没有掺杂其它政治因素。像大多数勒索软件一样,BianLian 使用了双重勒索的攻击方式,在加密目标文件后会把窃取数据发布在其暗网的官网上,并限定期限缴纳赎金。仅在 2022 年 8-10 月份这两个多月的时间,BianLian 团伙就在暗网上披露了十几家受害者数据,但从十月下旬开始,BianLian 就变得非常低调,攻击活动也逐步减少。BianLian 是基于 GoLang 自主开发的勒索软件,Go 语言的特点就是易移植,适用性强,而且逆向困难,不容易被破解。尤其是它对并发的强大支持,
4、增强了勒索软件快速攻击的能力。BianLian 勒索软件利用 ProxyShell 漏洞链(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)初步访问受害者网络,成功利用漏洞后,攻击者会部署一个 webshel l 或利用其它远程访问方案,如 ngrok 作为后续有效载荷。BianLian 还可以针对 SonicWall VPN 设备漏洞进行利用,并试图利用弱凭据或已暴露的凭据进行远程访问。研究发现,攻击者从获得初始访问权限到实际加密文件的停留时间可长达六周。BianLian 最初会尝试在整个网络中传播,窃取最有价值的数据并识别关键机器进行加密,如果确定
5、了目标主机,他们就会使用标准的 LotL(即 Living off the Land)方法进行横向移动。LotL 指的是入侵者利用目标系统中可用的合法软件和功能对其执行恶意操作。BianLian 攻击者会使用 nssm.exe 和反向代理 ngrok.exe 的组合在服务器上创建后门,之后利用 RDP、WinRM、WMI 和 PowerShell 等 LotL 方法来实现网络分析和横向移动。5新兴的勒索软件 BianLian新兴的勒索软件 BianLian2.3 定制后门2.4 攻击特点2.5 加密过程2.6 赎金记录BianLian 勒索团伙在攻击的初始阶段非常谨慎,尽量避免引起目标的注意。
6、他们一般不会直接 ping 目标,而是使用 arp 命令。即使在使用 ping 命令的情况下,通常也只发送一个 ping 命令,这一般不会引起目标主机的注意。一旦 BianLian 攻击者确定了他们想要访问的目标主机,就会使用之前提到的 LotL 技术,例如使用 net.exe 来添加和修改用户权限,使用netsh.exe来配置主机防火墙策略,以及利用reg.exe来修改各种注册表和安全策略以实施相关攻击。待时机成熟 BianLian 决定开始加密受害者网络时,就会立即采取激进的方法,攻击任何阻碍其加密工具运行的的网络或基于主机的防御。研究发现,在一次攻击的前 30 分钟内,研究人员见证了数十
7、次加密少数服务器的尝试,即使每次尝试都被 EDR 或 AV 阻止,攻击者也会在接下来的几个小时里试图绕过安全控制并访问其他非目标服务器,以尝试成功获取权限,加密受害者文件。BianLian 勒索软件的加密过程,我们以一个加密器样本为例。样本使用 Go 语言编写,会有一个唯一构建的GoLang ID,运行过程如下:(1)首先尝试通过 GetProcAddress()API 检查 wine_get_versio()函数来识别文件是否在 WINE 环境中运行;(2)使用 CreateThread()API 函数创建多个线程以执行更快的文件加密;(3)识别系统驱动器(从 A 盘到 Z 盘),加密驱动器
8、中可用的任何文件,但是会排除.exe、.dll、.sys、.txt、.lnk和.html 等类型的文件扩展名;(4)加密开始时会在多个文件夹中创建一个名为 look at this Instruction.txt 的赎金记录文件;(5)创建赎金记录后,勒索软件通过使用 FindFirstFileW()和 FindNextFileW()API 函数枚举文件和目录以进行加密。勒索软件主要使用 GoLang 加密软件包进行 AES 和 RSA 加密。加密时,勒索软件从原始文件中读取 10 个字节,然后加密字节并将加密数据写入目标文件。将数据分成小块是一种规避防病毒产品检测的有效方法;(6)使用“.b
9、ianlian”扩展名重命名加密文件,并使用 MoveFileExW()函数将它们替换为原始文件;(7)在文件加密的同时,把用于文件泄露和远程访问的多个工具下载到多个服务器并执行,用以回传数据。在创建的赎金记录文件中,攻击者宣称受害者的重要数据(例如财务、客户、业务、技术资料和个人文件等)均BianLian 还定制开发了简单而有效的后门,主要部署在受害者网络的机器上,实现其有效载核的正常加载。虽然 BianLian 利用和部署了具有大量内置命令的多个远程访问工具,但它的后门程序是一种核心有效的机制,可以保证从 C2 服务器加载任意有效负载并执行。BianLian 将每个后门二进制文件配置一个硬
10、编码的 IP 和端口组合,利用不同的端口进行通信,所以其每个后门文件都有一个唯一的哈希值,从而阻止了防御规则中通过简单的基于哈希校验策略的检测。6新兴的勒索软件 BianLian图 1 勒索赎金文件运营特点03BianLian 勒索软件从一开始就展现出不凡的技术水平,可以说代表了一群非常擅长网络渗透攻击,但对勒索软件业务运营相对较新的一类组织或团伙。从其技术水平来看,BianLian 团伙开发了一个由后门和加密器组成的自定义工具集,两者都使用 Go 编程语言进行开发,紧跟最新的恶意软件发展潮流。在基础设施方面,BianLian 团伙主要使用基于 Linux 的主机作为他们的 C2 服务器,但也
11、发现了 Windows 服务器在其攻击中使用的证据。BianLian 勒索软件的 C2 组件也是用 Go 语言编写的,这可能使他们能够轻松地在任一操作系统上部署自己的 C2 解决方案。研究人员在 2021 年 12 月底首次发现了 BianLian 的一个 C2 服务器,直至 2022 年 7 月底,活跃的服务器大约达到 10 台。而从 8 月份开始,BianLian 突然在其运营基础架构中添加很多新的 C2 节点,月底约有 30 多个活跃IP,短短几周达到了三倍。虽然我们无法确认这种突然爆发增长的原因,但这表明 BianLian 团伙已准备好加快运营节奏。从其运营水平来看,这个团伙可能还比较
12、年轻,对如何运作勒索软件和获取勒索赎金方面似乎还在探索阶段,该团伙也同时采用 Raas 模式进行分发。像其它活跃勒索软件一样,BianLian 也在暗网上运作了一个数据泄露网站,专门用于披露其从攻击目标获取的数据。从 2021 年 12 月份开始,BianLian 已经在其网站上披露了 37 个受害者的名称和相关数据信息,但这些还不包括那些可能已经支付了赎金的受害者。BianLian 信息泄露网站上海品茶:已被下载,如果在十天内未支付赎金,将发布在其泄漏网站上。赎金记录还包含用于谈判的 TOX Messenger 的 ID和泄漏站点页面的暗网地址。赎金记录文件打开如下图所示:7新兴的勒索软件 Bi
13、anLian新兴的勒索软件 BianLian图 2 BianLian 暗网上海品茶BianLian 网站上披露的受害者名单如下:8新兴的勒索软件 BianLian从其攻击的 30 多个目标来看,这个团伙还是比较低调,并没有造成非常恶劣的影响,也没有涉及政府和军工等政治相关的领域,这样不容易引起目标国家安全部门的调查和封杀。BianLian 勒索软件的受害者主要来自美国、英国、澳大利亚、印度、瑞士等国家,行业分布也比较广泛,具体行业分布如图 4 所示。BianLian 勒索软件攻击行业分布示意图:图 3 BianLian 受害者信息列表图 4 行业分布图教育 8%法律 6%媒体 5%食品 5%金融
14、8%酒店 5%医疗 27%汽车3%建筑3%消费电子3%云服务3%工程制造24%9新兴的勒索软件 BianLian新兴的勒索软件 BianLian总结附录0405BianLian 作为 2022 年最为活跃的勒索软件之一,其背后的运营团伙似乎还比较年轻,但 BianLian 依然保持着较高的技术水平和低调的攻击风格。BianLian 开发了自己的加密工具和后门软件,攻击过程中在没有正式加密目标文件之前会长期保持自己的隐蔽状态,寻找最佳机会一举成功。该团伙攻击行业非常广泛,明显以获取经济利益为目的。其攻击国家主要针对欧美地区,目前并没有发现针对国内的攻击。但是我们也要加强防范意识,及时对网络资产中
15、的重要漏洞和系统打补丁,加固远程访问策略,降低勒索软件入侵的可能性。BianLian 勒索软件在 2022 年的 8 月到 10 月期间异常活跃,虽然之后比较低调,我们猜测也许其内部发展运作出现了问题,也有可能在研究新的攻击方式,开发新的工具集。不管怎样,我们都要准备着 BianLian 团伙随时都有可能掀起一波新的攻击浪潮。5.1 防护体系防范防止勒索软件攻击的最佳时间在入侵发生之前,因此,建议采用主动安全防御策略:1、做好资产梳理与分级分类管理。建立完整的资产清单,识别内部系统与外部第三方系统间的连接关系,尤其是域合作伙伴共享控制的区域,降低勒索软件从第三方系统进入的风险;2、严格访问控制
16、策略。创建防火墙规则,仅允许特定的 IP 地址访问;限制可使用 RDP 的用户为特权用户;设置访问锁定策略,调整账户锁定阈值与锁定持续时间等配置;为管理员级别和更高级别设置的账户实施基于时间的访问;3、做好身份验证管理。设置复杂密码,并保持定期更换登录口令习惯;多台机器,切勿使用相同的账号和口令;启用多因素身份验证(MFA);4、及时更新系统补丁。定期检查、修补系统漏洞,尤其针对高危或 0day 漏洞;5、备份重要数据和系统。在物理上独立安全的位置(即硬盘驱动器、存储设备、云)维护和保留敏感或专有数据的多个副本;检测检测为勒索软件体系化防护的事中阶段,该阶段勒索软件已渗透到系统内部,但还未大规
17、模爆发。通过应用有效的检测手段,能够降低勒索软件爆发所产生影响。10新兴的勒索软件 BianLian1、共享威胁情报。使用网络安全设备或组件阻断相关指示器;使用沙盒分析来阻止恶意文件执行;2、文件扩展名检测。借助文件访问监控工具,将勒索软件的扩展名文件重命名操作列入黑名单;3、采用蜜罐文件。在共享文件夹放置虚假诱饵文件并以警报通知文件打开情况;4、配备安全防护工具。检测系统中存在可疑工具;监控可疑网络端口、协议和服务;识别授权和未授权的设备和软件;对事件日志进行审核。响应感染勒索病毒建议进行如下操作:1、隔离网络。将感染病毒的机器断开互联网连接,视情况切断网络内不必要的网络连接,避免网络内其他
18、机器被进一步感染渗透;2、分类处置。当重要文件尚未被加密时,应立即终止勒索软件进程或关闭机器,及时止损;3、及时报告。及时报告网络管理员,通知其他可能会受到勒索软件影响的人员,造成重大影响时,及时向网络安全主管部门报告;4、排查加固。排查勒索软件植入途径;及时堵塞漏洞、尽快对网络内机器进行全面漏洞扫描和安全加固;5、专业恢复。联系专业公司和人员进行数据和系统恢复工作;5.2 IOCS后门软件001f33dd5ec923afa836bb9e8049958decc152eeb6f6012b1cb635cff03be2a21a1177363be7319e7fb50ac84f69acb633fd51c
19、58f7d2d73a1d5efb5c376f25620bab94e6d9c8ed4832ce3b58f9150b16f9e5f40ffdcb747e10366cab5a3035236281d02e28dd26a1db37ebe36941fc9eb1748868e96b544f227b3b59de51fea3bdcc81931687abac9e6ba4c80d4d596cebb470c80f56213aa29d3da4392553750c86fb27bed1962903a5f9d155544e3fdb859ae19e967a10f0bf3a60bb8954f5d429e05cede806ecea
20、2e99116cac09558fcc0011095201e66c2e65c42f80fcf64065c29b369881ee36314c0d15e442510027186fd9087aec0f63e22a5c6f24c6d7009df2fa033f7adc30793ebd5254ef47a803950e31f5c52fa3ead1197599f8084eddfdb157edf8b1c0cdf8bf4d4e4aaa332fc871c2892aa4113b5148ac63e8592862cd28bcc23cfbcf57c82569c0b74a70cd7ea70dbdee7421f3fafc7eca
21、f86a9b84c6258c99b3c3c5b94a2087bc76a533f6043829ded5d8559e88b97fb2f9b7a0117a27dc418fbf851afcd96c25c7ad995d7be7f3d8d888fa26a6e530221bb2e9fd9d60f49f0fc2c46f8254e5617d4ec856f40256554087cda727a5f6019c0fe7bfb0d1ffeb61fb9cafeeab79ffd1660ff3637798e315ff15d802a3c974e11新兴的勒索软件 BianLian新兴的勒索软件 BianLian加密软件1fd07
22、b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43b60be0b5c6e553e483a9ef9040a9314dd54335de7050fed691a07f299ccb8bc6cbab4614a2cdd65eb619a4dd0b5e726f0a94483212945f4f77095eaf5e26c5e73f3db82cd07ea45e4d244ccb3ec3397ab5263a1a74add7bbcb6e2活动涉及 IP104.207.155.133192.145.38.24283.136.180.12
23、104.225.129.86192.161.48.4385.13.116.194104.238.223.10192.169.6.23285.13.117.213104.238.223.3194.26.29.13185.13.117.218104.238.61.153194.5.212.20585.13.117.219109.248.6.207194.58.119.15989.22.224.313.49.57.110198.252.108.3491.199.209.20144.208.127.119202.66.72.795.179.137.20146.0.79.9208.123.119.145
24、54.173.59.51146.70.44.248209.141.54.20562.84.112.68155.94.160.24123.227.198.24364.52.80.120157.245.80.6623.94.56.15466.135.0.4216.162.137.22037.235.54.81185.56.80.28165.22.87.19943.155.116.250185.62.58.151167.88.15.9845.144.30.139185.69.53.38172.93.96.6145.9.150.132188.166.81.141c7fe3fc6ffdfc31bc360
25、afe7d5d6887c622e75cc91bc97523c8115b0e0158ad6cd17afd9115b2d83e948a1bcabf508f42d0fe7edb56cc62f5cc467c938e45033d602562ba7273695df9248a8590b510ccd49fefb97f5c75d485895abba13418dda7a959ae7ea237bb6cd913119a35baa43a68e375f892857f6d77eaa62aabbafdda89e9e6c70ff814c65e1748a27b42517690acb12c65c3bbd60ae3ab41e7aca
26、de31a4125eb74d0b7cbf2451b40fdb2d66d279a8b8fd42191660b196a9ac468ff7a3a8734c004682201b8873691d684985329be3fcdba965f268103a086ebaad12新兴的勒索软件 BianLian172.93.96.6245.92.156.1055.2.79.138172.96.137.1075.188.6.1185.230.67.218.130.242.71185.108.129.24251.68.190.20185.225.69.1735.3 参考资料1.https:/ BianLian新兴的勒索软件 BianLian市场合作:mkttj- 客户服务:servicetj- 合作伙伴:partnertj-400-081-0700www.tj-专业的情报应用解决方案提供商