Black Matter 勒索软件是 DarkSide 的继任者?
2021年7月21日,一个名为 Black Matter 的新兴勒索软件组织出现在俄罗斯黑客论坛 DarkWeb Exploit。据制作者称,Black Matter 勒索软件已经整合了 DarkSide、BlueCrab 和 LockBit 勒索软件的最佳功能。此外,有些人认为该组织与在攻击美国燃油、燃气管道运营商 Colonial Pipeline 后消失的 DarkSide 是同一个组织。
在本文中,我们分析了 Black Matter 勒索软件的特征、受害情况和攻击过程。
BlackMatter 集团的活动于2021年8月正式开始,到10月初,已确认了向28个组织传播勒索软件的记录。
这个组织类似于最近传播勒索软件的组织,例如通过暗网(DarkWeb)招募攻击者,并通过对特定公司进行针对性攻击来接管公司的内部基础设施,以传播勒索软件并窃取敏感数据。对于没有支付恢复费用的公司,他们将通过自己运营的网站发布公司名称和泄露的数据。
特点
Black Matter 勒索软件的最大特点是不会对多个行业的组织进行攻击,包括医院、关键基础设施(核电站、水力、发电厂等)、石油和天然气、国防工业、非营利组织和政府部门。这可能是受到 DarkSide 勒索软件集团于2021年5月进行的美国 Colonial Pipeline 攻击事件的影响。当时,据报道,由于FBI和美国政府积极介入此案,使 Darkside 勒索软件组织失去了所有收入和运营基础设施。
【图1】Black Matter 组织公告
受害情况及主要事例
截至2021年10月,全球共有28家公司受到 Black Matter 勒索软件的影响,各产业和国家的感染情况分别如【图2】和【图3】所示。统计数据是通过参考泄露网页和媒体报道而编制的。
【图2】各产业的 Black Matter 勒索软件感染情况
【图3】各国家的 Black Matter 勒索软件感染情况
主要事例:奥林巴斯(Olympus)
奥林巴斯(Olympus)是一家专门制造医疗器械精密仪器的全球性大企业,总部位于日本。
【图4】奥林巴斯(Olympus)遭遇 Black Matter 勒索软件攻击相关报道
2021年9月8日,奥林巴斯的IT系统遭遇勒索软件攻击,导致其在欧洲、中东和非洲的所有子公司网络瘫痪。攻击发生三天后,该公司发表声明表示正在调查此事件。据相关人士称,攻击期间受影响的系统上发现被认为是 Black
Matter 勒索软件团伙的勒索笔记。
攻击分析
AhnLab用于分析 Black Matter 勒索软件的样本如【表1】所示。接下来,让我们一步步分析 Black Matter 勒索软件的攻击方法。
|
项目 |
内容 |
|
名称 |
yw1exvzew.dll |
|
大小 |
66.50 KB (68096 bytes) |
|
生成时间 |
2021年07月23日20点51分18秒(以UTC为准) |
|
MD5 |
ba375d0625001102fc1f2ccb6f582d91 |
|
SHA256 |
c6e2ef30a86baa670590bd21acf5b91822117e0cbe6060060bc5fe0182dace99 |
|
AhnLab诊断名 |
Ransomware/Win.BlackMatter.C4575089 |
【表1】 Black Matter 勒索软件样本信息
1. 检查进程权限与 UAC Bypass
当 Black Matter 勒索软件第一次运行时,会运行检查当前进程权限的代码。如果进程具有用户权限,则通过 UAC Bypass 进行权限提升;如果进程具有管理员权限,则结束该区间的函数。
当混淆的数据被解密时,会生成 dllhost.exe 字符串。并且,如【图5】所示, 生成该可执行文件的完整路径以及“Elevation:Administrator!new:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}”字符串。
【图5】生成的字符串
当调用 CoGetObject 和 ObjectStublessClient9 函数时,如【图6】所示,dllhost.exe
进程被运行,并将 Black Matter 勒索文件作为子进程运行。此时,会发生权限提升,该手法被称为使用
CMSTPLUA COM 接口的“UAC
Bypass”。
【图6】使用 UAC Bypass 的权限提升
2. 根据命令参数进行代码分支
之后,使用 CommandLineToArgvW
函数解析(parsing:对句子作句法分析)命令参数。传入的参数字符串与由自己的哈希函数硬编码的哈希值进行比较,并根据参数对代码进行分支。
【图7】根据命令参数值进行代码分支
作为参考,Black
Matter 勒索软件根据命令参数运行不同的代码。有关该方面的说明,请参考【表2】。
|
命令参数 |
功能 |
|
-path“路径名” |
对指定目录路径的勒索行为 |
|
-safe |
设置系统安全模式和重新启动 |
|
-wall |
创建和更改桌面文件 |
|
“路径名” |
指定网络目录路径上的勒索行为 |
|
没有命令参数 |
默认勒索行为 |
【表2】根据指令参数进行代码分支
3. 防止进程重复运行
接下来,使用系统 GUID 值执行
Black Matter 的自定义哈希运算。然后,通过 XOR 运算(硬编码值)生成仅对当前系统有效的随机名称的“Mutex(Mutual exclusion:互斥)”的字符串。以此避免了进程重复运行。
【图8】防止进程重复运行
此时生成的 Mutex
字符串如下。
s Global\0c111f6a663f88b095d9e4f755e54840)
4.
收集系统信息并生成 JSON 数据
Black Matter 勒索软件在收集了当前系统的主机信息和磁盘信息后,创建了一个 JSON 格式的数据结构,如【图9】所示。
【图9】收集系统主机和磁盘信息后生成 JSON 数据
接下来,以类似于生成
Mutex 字符串的算法的方式生成一个 BotID,并将其添加到之前创建的 JSON格式的数据结构中。
【图10】添加 JSON 数据值(BotID)
5. 收集到的信息(JSON
数据)经过 AES 加密并传输到 C2
以 JSON
数据格式收集到的信息通过 AES(Advanced
Encryption Standard)进行加密。样本文件中硬编码的 AES
密钥用于加密。加密的数据或收集的信息经过 Base64
编码后通过 HttpOpenRequestW 和 HttpSendRequestW
函数传输到攻击者服务器(C2)。
【图11】加密数据(收集到的信息)传输到 C2
6. 终止干扰勒索软件的进程
Black Matter 勒索软件使用“ZwQuerySystemInformation”函数获取SYSTEM_PROCESS_INFORMATION 结构体,然后解析内部成员。并且,在将每个进程名称与【表3】中要终止的进程进行比较后,通过 NtOpenProcess 和 ZwTerminateProcess 函数终止。
【图12】终止干扰勒索软件的进程
encsvc,
thebat, mydesktopqos, xfssvccon, firefox, infopath, winword, steam, synctime,
notepad, ocomm, onenote, mspub, thunderbird, agntsvc, sql, excel, powerpnt,
outlook, wordpad, dbeng50, isqlplussvc, sqbcoreservice, oracle, ocautoupds,
dbsnmp, msaccess, tbirdconfig, ocssd, mydesktopservice, visio
|
【表3】要终止的进程列表
7. 删除干扰勒索软件的服务
使用 OpenSCManager 和 EnumServicesStatusExW 函数找到系统中安装的所有服务后,搜索干扰勒索软件的服务,这些服务包含【表4】字符串。然后,通过 DeleteService 函数删除选中的服务。
【图13】搜索并删除要删除的服务
mepocs,
memtas, veeam, svc$, backup, sql, vss
|
【表4】删除进程字符串
8. 搜索目录、创建勒索笔记和加密文件
删除干扰勒索软件的服务后,使用 FindFirstFileExW
和 FindNextFileExW 函数的目录搜索循环区间。此时,排除对【表5】中路径的访问。优先在所有搜索到的路径中创建勒索笔记,并进行文件加密,此时将【表6】中的某些文件和【表7】中带有扩展名的文件排除在加密之外。
【图14】目录搜索和文件加密
system
volume information, intel, $windows.~ws, application data, $recycle.bin,
mozilla, program files (x86), program files, $windows.~bt, public, msocache,
windows, default, all users, tor browser, programdata, boot, config.msi,
google, perflogs, appdata, windows.old
|
【表5】从访问中排除的文件夹名称
desktop.ini,
autorun.inf, ntldr, bootsect.bak, thumbs.db, boot.ini, ntuser.dat,
iconcache.db, bootfont.bin, ntuser.ini, ntuser.dat.log
|
【表6】从加密中排除的文件列表
themepack,
nls, diagpkg, msi, lnk, exe, cab, scr, bat, drv, rtp, msp, prf, msc, ico,
key, ocx, diagcab, diagcfg, pdb, wpx, hlp, icns, rom, dll, msstyles, mod,
ps1, ics, hta, bin, cmd, ani, 386, lock, cur, idx, sys, com, deskthemepack,
shs, ldf, theme, mpa, nomedia, spl, cpl, adv, icl, msu
|
【表7】从加密中排除的扩展名列表
如【图15】所示,文件加密通过使用由生成随机值的代码生成的密钥进行加密(Salsa20)。用于加密的密钥由RSA进一步加密。
【图15】生成随机密钥值àSalsa20 加密密钥
另外,【图16】和【图17】分别是与加密文件样本和勒索笔记有关的图片。
【图16】加密文件样本
【图17】勒索笔记
9. 更改桌面并注册自动运行
完成所有文件的加密后,将创建并更改桌面文件,如【图18】所示。此外,在“SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce”的注册表路径中创建一个名为
*RYL415ver” 的自动运行注册表项值。
【图18】将桌面更换为勒索笔记
【图19】注册自动运行(Autorun)
结论
AhnLab产品可以诊断
Black Matter 勒索软件,诊断名称和引擎版本信息如下:
- Ransomware/Win.BlackMatter C4575089(2021.08.04.03)
在 Darkside 勒索软件组织的攻击停止后突然出现的 Black Matter 勒索软件,最初被认为是同一攻击者所为。但是,从攻击方式等的技术分析来看,虽然有部分实现了类似的功能,但很难说源代码是相似的。此外,二进制分析结果似乎也难以确定为同一个攻击者。
然而,除了与过去勒索软件的相似性之外,Black Matter是一种相对较新勒索软件,于2021年8月正式开始了活动,直至10月也确认了受害案例。正如此前的统计数据证实,韩国国内的感染事例也已经确认,这需要企业特别关注和了解攻击方式。
