快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

威胁预警 | 通过知名遥程桌面工具传播的BlackRouter勒索病毒

事故讲演

近来国外某安全公司发现新的勒索病毒样本,新发现的BlackRouter勒索软件通过与知名的遥程桌面工具AnyDesk捆绑进行传播,AnyDesk是一款与TeamViewer类似的广泛使用的遥程桌面工具,能够在不同的桌面操作体系(包括Windows,MacOS,Linux以及FreeBSD)之间进行双向遥程控制,和在Android以及iOS上单向走访,使用量无比大。

千里目安全实验室EDR安全团队拿获到相干的样本,并对样本进行了具体阐发,勒索病毒作者通过捆绑恶意软件的方式,将此勒索病毒与AnyDesk工具被捆绑打包在了一块儿,多是行使此要领来逃避安全软件的检测,深信服EDR安全团队提醒泛博用户鄙人载一些经常使用软件的时辰,不要到一些垃圾网站或不明网站进行下载,请到软件的官方网站或官方渠道进行下载使用。

下列是样本在VT上的截图信息:

图片.png

可以发现样本的文件名以及文件图标等信息都无比具有迷惑性,以下图所示:

图片.png

用户往往会在不知情的情形下运行样本,导致内里捆绑的勒索病毒在后台偷偷运行,从而感染用户主机。

攻击方式

传播方式

此勒索病毒首要通过垃圾网站捆绑正常软件的方式进行传播。

加密算法

此勒索病毒使用AES+RSA2048相结合的加密方式,加密相应文件。

样本阐发

(1)样本母体运行以后,会在暂且目录开释ANYDESK.EXE遥程桌面程序以及BLACKROUTER.EXE勒索病毒程序,以下图所示:

图片.png

然后自动运行这两个程序,前台运行ANYDESK.EXE遥程桌面程序,后台运行BLACKROUTER.EXE程序,以下图所示:

图片.png

样本运行实现以后,主机中的大部分文件被加密成.BlackRouter后缀的文件,以下图所示:

图片.png

同时会弹出相干的勒索信息对话框,以下图所示:

图片.png

同时在桌面或相应的磁盘目录下生成ReadME-BlackRouter.txt的勒索信息文本,文本信息以下:

图片.png

(2) 勒索病毒母体BLACKROUTER.EXE是经过混淆加密过的,通过de4dot去混淆以后,用dnSpy关上勒索病毒母体,函数体显示失足,以下所示:

图片.png

经过动态调试解密以后,函数体被还原,以下所示:

图片.png

(3) 此勒索病毒母体味加密以下文件夹下的文件,文件夹列表以下:

%Desktop%

%Documents%

%Favorites%

%Music%

%History%

%System Root%\Users\All Users

%System Root%\Users\Default

%System Root%\Users\Public

勒索病毒会加密上面文件夹里相应文件名后缀的文件,加密后的文件后缀重命名为.BlackRouter,并在相应的目录生成ReadME-BlackRouter.txt勒索信息文本。

(4) 勒索病毒加密的文件后缀名列表以下所示:

“.txt”,”.doc”,”.docx”,”.xls”,”.xlsx”,”.ppt”,”.pptx”,”.odt”,”.jpg”,”.png”,”.csv”,”.sql”,”.mdb”,”.sln”,”.php”,”.asp”,”.aspx”,”.html”,”.xml”,”.psd”,”.rar”,”.zip”,”.mp3″,”.exe”,”.PDF”,”.rtf”,”.DT”,”.CF”,”.CFU”,”.mxl”,”.epf”,”.erf”,”.vrp”,”.grs”,”.geo”,”.elf”,”.lgf”,”.lgp”,”.log”,”.st”,”.pff”,”.mft”,”.efd”,”.ini”,”.CFL”,”.cer”,”.backup”,”.7zip”,”.tiff”,”.jpeg”,”.accdb”,”.sqlite”,”.dbf”,”1cd”,”.mdb”,”.cd”,”.cdr”,”.dwg”,”.png”

勒索病毒会加密上面这些后缀的文件,使用的加密算法为AES加密算法,Key使用RSA2048算法进行加密。

(5) 删除磁盘卷影,通过ProcessStart调下以下命令:

"cmd.exe", "/c vssadmin.exe delete shadows /all /quiet"

防止通过磁盘还原方式对文件进行恢复。

(6)通过对近期出现的几个勒索家族样本的阐发,我们发现近来国外比较流行的几款勒索病毒使用的加密模块代码结构无比相似,而且加载的恶意程序名使用了统一的名称:SF.EXE,经过阐发近来流行的几个子家族变种:

Spartacus(斯巴达克斯勒索病毒)

Satyr(萨克斯勒索病毒)

BlackRouter(BlackRouter勒索病毒)

可以发现核心的加密模块代码无比相似,使用的加载方式不同,样本运行以后加密后的后缀名分别为:

图片.png

我们并没有依据可以得出上面的几个勒索家族是同一个勒索病毒制造团伙开发的,只是通过阐发发现他们的核心加密过程逻辑代码结构无比类似。

安全思考

思考一:BlackRouter勒索病毒的传播方式是通过捆绑知名的遥程桌面程序AnyDesk进行传播,深信服EDR安全团队始终在慎密亲密关注外界的安全动态,发现近来黑客对供应链攻击方式比较感兴致,今年发现的几个支流的勒索病毒样本的感染传播方式大多数是通过RDP爆破或永恒之蓝进行内网传播的,后续这类通过软件供应链,从一些软件源头进行感染,然后捆绑相应的正常软件进行传播的方式可能会成为下一个热门,因为很多正常软件的使用量无比大,同时黑客捆绑软件的方式也无比具有针对性,这次捆绑的软件为知名的遥程桌面软件,使用的用户量大,而且多用于公司内部人员进行相干的操作,很多企业都有使用这款遥程桌面工具,由此可以看出勒索病毒的感染对象现在主若是集中对企业用户进行感染,而且黑客无比熟识企业环境,针对企业用户多是因为只有企业用户才有可能愿意付费解锁。

思考二:深信服EDR安全团队通过对近来的一批勒索以及挖矿样本的阐发,可以得出,黑客使用的手艺手段在不断提高,近来的一批样本中使用了种种免杀手艺以及RootKit相干手艺,可以预测后面黑客会使用更多的免杀以及高级的恶意软件手艺以逃避种种杀软和终端安全检测产品的检测与查杀,安全匹敌也会越来越激烈。

防备措施

千里目安全实验室提醒用户,一样平常防范措施:

1.不要点击来源不明的邮件和附件,无线黑客,不从不明网站下载相干的软件

2.及时给电脑打补丁,修复漏洞

3.对重要的数据文件定期进行非内陆备份

4.装置专业的终端/服务器安全防护软件

5.定期用专业的反病毒软件进行安全查杀

6.绝量关闭无须要的文件同享权限和关闭无须要的端口,如:445,135,139,3389等

相干IOC

MD5:

49E12E0BD76941AB54DEC0DB51CD6E22

96238F8115395EB2FFDFCC6F65191FCD

F31D6529FF4AD98053F9A8A9832F95E3

25DEE2E70C931F3FA832A5B189117CE8

3E1F05B711BF194E17A5C55E6548D2C1

* 千里目安全实验室,转载注明来自

您可能还会对下面的文章感兴趣: