freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

通過U盤傳播的多功能勒索軟件分析
2021-03-16 16:38:48

HW期間,為防范釣魚,即日起FreeBuf將取消投稿文章的一切外部鏈接。給您帶來的不便,敬請諒解~

一、概述

近日,安天CERT捕獲到一種具備可移動介質傳播功能的BleachGap勒索軟件。該勒索軟件最早出現于2021年2月,目前已迭代多個版本。

BleachGap勒索軟件具備添加自啟動、添加計劃任務、改寫MBR、使鍵盤按鍵失效、通過可移動介質傳播等多項功能,采用“AES-256”對稱加密算法加密文件,在已知密鑰的情況下可快速解密。目前,勒索軟件的功能已經不局限于加密文件,開始嘗試通過可移動介質的方式橫向傳播,用戶需及時針對此類攻擊手段做好有效防范措施。經驗證,安天智甲終端防御系統(簡稱IEP)的勒索軟件防護模塊可有效阻止BleachGap勒索軟件的惡意行為。

二、BleachGap勒索軟件對應ATT&CK的映射圖譜

該勒索軟件技術特點分布圖:

圖 2-1 BleachGap勒索軟件技術特點對應ATT&CK的映射

具體ATT&CK技術行為描述表:

表 2-1 具體技術行為描述表

三、防護建議

針對該勒索軟件安天建議個人及企業采取如下防護措施:

3.1 個人防護

(1) 安裝終端防護:安裝反病毒軟件。建議安天智甲的用戶開啟勒索病毒防御工具模塊(默認開啟);

(2) 加強口令強度:避免使用弱口令,建議使用16位或更長的密碼,包括大小寫字母、數字和符號在內的組合,同時避免多個服務器使用相同口令;

(3) 及時更新補?。?/strong>建議開啟自動更新功能安裝系統補丁,服務器應及時更新系統補??;

(4) 關閉高危端口:如無使用需要,建議關閉3389、445、139、135等高危端口;

(5) 定期數據備份:定期對重要文件進行數據備份,備份數據應與主機隔離;

(6) 確認郵件來源:接收郵件時要確認發送來源是否可靠,避免打開可疑郵件中的網址和附件;

(7) 關閉U盤自動播放:通過配置組策略在系統中關閉U盤自動播放功能。

3.2 企業防護

(1) 開啟日志:開啟關鍵日志收集功能(安全日志、系統日志、PowerShell日志、IIS日志、錯誤日志、訪問日志、傳輸日志和Cookie日志),為安全事件的追蹤溯源奠定基礎;

(2) 設置IP白名單規則:配置高級安全Windows防火墻,設置遠程桌面連接的入站規則,將使用的IP地址或IP地址范圍加入規則中,阻止規則外IP進行暴力破解;

(3) 主機加固:對系統進行滲透測試及安全加固;

(4) 災備預案:建立安全災備預案,確保備份業務系統可以快速啟用;

(5) 安天服務:若遭受勒索軟件攻擊,建議及時斷網,并保護現場等待安全工程師對計算機進行排查。安天7*24小時服務熱線:400-840-9234。

目前,安天智甲終端防御系統可實現對BleachGap勒索軟件的查殺與有效防護。

圖 3-1 安天智甲有效防護

圖 3-2 安天智甲阻止PowerShell操作


四、BleachGap勒索軟件概覽

4.1 執行流程

圖 4-1 攻擊流程

1、攻擊投放階段

BleachGap勒索軟件運行后,釋放三個文件,包括“四位隨機字符名.bat”、“aescrypt.exe”、“DiscordSendWebhook.exe”到%Temp%路徑下。

2、感染階段

(1) bat腳本文件使用自定義算法隨機生成一個密鑰,調用“aescrypt.exe”加密文件;

(2) 調用“DiscordSendWebhook.exe”將用戶名、加密密鑰等信息發送到Discord服務器;

(3) 下載“gameover.exe”并重命名為“final.exe”,運行后改寫MBR;

(4) 在磁盤根目錄下創建“autorun.inf”文件,實現批處理腳本的自啟動;

(5) 創建并執行“p2d.bat”。

3、 勒索階段

“p2d.bat”在桌面創建100個名為“Pay2Decrypt(1-100).txt”的勒索信。

4.2 信息概覽

表 4-1 BleachGap勒索軟件概覽

5、BleachGap勒索軟件分析

5.1 樣本標簽

表 5-1 BleachGap勒索軟件基本信息

5.2 樣本行為

該樣本運行后,會釋放3個文件到%Temp%路徑下,各文件功能如下:

表 5-2 釋放的各文件功能

刪除系統卷影,防止恢復文件

批處理腳本將自身復制到%AppData%/Microsoft/Windows/Start Menu/Programs/Startup/目錄,并且刪除系統卷影副本,以防止恢復加密文件。

圖 5-1 復制自身到指定目錄,刪除系統卷影副本

關閉安全警告,規避檢測

為了規避檢測,通過修改注冊表繞過UAC機制,關閉安全警告,將“用戶賬戶控制設置”設置為“從不通知”。

圖 5-2 修改注冊表以規避檢測

互換鼠標左右鍵,鍵盤按鍵失效

互換鼠標左右鍵功能,并且使鍵盤上的部分按鍵失效,導致用戶在重啟系統后無法正常使用。失效的按鍵鍵位如下:

表 5-3 失效的按鍵鍵位

結束瀏覽器進程,結束任務管理器

為了避免加密過程受到影響,該批處理腳本結束Opera,Chrome,FireFox和Internet Explorer等瀏覽器進程,并通過PowerShell執行結束任務管理器的“kill.bat”腳本。此外該腳本還會創建計劃任務實現用戶登錄時運行勒索軟件樣本。

調用“aescrypt.exe”加密文件,只針對部分目錄進行加密

使用自定義算法隨機生成一個密鑰,調用“aescrypt.exe”采用“AES-256”加密算法來加密%userprofile%和%HOMEDRIVE%路徑下的所有文件,在被加密文件的文件名后追加以“.lck”命名的后綴。由于BleachGap勒索軟件僅采用AES對稱加密算法進行加密,所以在已知加密密鑰的前提下,被加密的文件可通過命令“aescrypt.exe -d -p 加密密鑰 -o 原文件名 加密文件名”進行解密。

圖 5-3 加密指定路徑下的文件

執行腳本生成勒索信

通過PowerShell執行生成勒索信的腳本“p2d.bat”,在桌面創建100個名為“Pay2Decrypt(1-100).txt”的勒索信,勒索信具體內容包含了勒索說明、勒索金額、比特幣錢包地址以及聯系郵箱。

圖 5-4 BleachGap勒索信

回傳數據至Discord服務器

調用“DiscordSendWebhook.exe”將用戶名、加密密鑰、個人ID等信息發送到攻擊者創建的Discord頻道。該頻道創建時間為2021年2月6日,與該勒索軟件的活躍時間相近,用來記錄受害者信息。

圖 5-5 Discord頻道創建時間

下載惡意載荷,改寫MBR

訪問anonfiles(瑞典的匿名網盤)下載一個名為“gameover.exe”的惡意代碼,重命名為“final.exe”保存到%Temp%目錄下運行,并且創建計劃任務每隔五天運行一次。該惡意代碼改寫MBR,在開機時鎖定計算機。

圖 5-6 MBR被改寫后的開機界面

創建“autorun.inf”,實現可移動介質傳播

在每個磁盤的根目錄下創建InstallWizard文件夾,將自身復制到該文件夾下并重命名為“Install..bat”。在磁盤根目錄下創建“autorun.inf”文件,即使重裝系統后清除了系統盤的病毒,但是雙擊其它磁盤時,病毒又會重新運行。并且當受害者使用U盤啟動盤修復MBR時感染U盤,達到U盤傳播的目的。

圖 5-7 可移動介質傳播功能模塊

六、附錄:IoCs

本文作者:, 轉載請注明來自FreeBuf.COM

# 系統安全 # 數據安全
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
文章目錄
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网