背??景介绍近日,Babuk勒索病毒的完整源代码被泄露。据泄露源代码的黑客称,他声称要改造自己。然而,这种公开源代码的行为实际上降低了其他潜在犯罪团伙制作勒索软件的机会。未来是否会出现更多勒索软件尚不得而知。Babuk勒索病毒于2021年初首次曝光,让他们“一夜成名”的是今年4月对华盛顿大都会警察局的袭击。他们威胁说,如果不支付赎金,他们将披露警方线人和其他敏感数据,并继续以联邦调查局和CSA为目标。和其他部门。但他们不仅针对执法机构。他们此前曾攻击过许多大公司和组织,例如西班牙手机零售商PhoneHouse和NBA休斯顿火箭队。他们一度成为2021年最活跃的勒索家族之一。图片来自网络:Babuk公布华盛顿大都会警察局被盗数据文件在海外攻击场景中捕获了最新的Babuk勒索病毒样本。对该勒索病毒进一步分析后发现,Babuk勒索病毒不仅像其他勒索病毒家族一样对文件进行加密,还会窃取被攻击目标的数据以威胁受害者支付赎金。与其他勒索团伙相比,Babuk使用的攻击手段更加多样化,包括:利用APT攻击中常见的“白加黑”方式绕过静态检测;使用自动安装脚本批量启动,而不是手动交付来执行勒索软件;维护着不同平台的勒索代码,具有针对Linux系统的勒索功能。同时,这个团伙的攻击过程非常有耐心,潜伏期也相当长,有可能达到两个多月。因此,在进行最后的攻击之后,往往会对受害者产生不小的影响。目前,深信服终端检测平台EDR已支持该攻击。勒索软件的防护和查杀。入侵方式:C2连接工具C2连接工具由三个文件组成:GoogleUpdate.exe是一个带有谷歌数字签名的可执行程序,GoogleUpdate运行过程会加载goopdate.dll文件;而goopdate.dll就是被劫持的shellcodeloader读取thumb.db中的shellcode并解码运行;安全专家通过调试发现C2服务器的地址为103.79.77.242/Inform/registration/Q0FNEMDCNR9,但目前该地址不可用。GoogleUpdate.exe+goopdate.dll属于利用白色文件加载恶意程序躲避杀毒软件检测的操作,网上可以查到很多案例。(注:OceanLotusAPT也采用了同样的方法)安全专家还发现了一组勒索病毒批量安装脚本,包括以下三个文件:e.txt存放的是勒索病毒宿主e的IP地址。bat调用e.vbs实现批量远程执行命令:e.vbs的函数列表如下:e.vbs的脚本内容比较简单,首先使用netuse连接目标主机;然后远程执行命令;值得注意的是,该脚本还会共享受害主机中的C:/Windows/Temp目录,方便文件传输等操作。样本分析Windows:程序首先执行勒索软件加密前的准备工作,包括:停止相关服务结束相关进程删除卷影副本清空回收站Babukransomware首先停止以下服务以确保顺利加密:vss,sql,svc$,memtas,mepocs,sophos,veeam,备份,GxVss,GxBlr,GxFWD,GxCVD,GxCIMgr,DefWatch,ccEvtMgr,ccSetMgr,SavRoam,RTVscan,QBFCService,QBIDPService,Intuit,QuickBooks,FCS,QBCFMonitorService,YooBackup,YooIT,zhudongfangyu,sophos,sophos,、VeeamTransportSvc、VeeamDeploymentService、VeeamNFSSvc、veeam、PDVFSService、BackupExecVSSProvider、BackupExecAgentAccelerator、BackupExecAgentBrowser、BackupExecDiveciMediaService、BackupExecJobEngine、BackupExecManagementService、BackupExecRPCService、AcrSch2Svc、AcronisAgent、CASAD2DWebSvc、CAARCUpdateSvc结束如下进程,避免数据文件被占用而无法加密:sql.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefox.exe、tbirdconfig.exe、mydesktopqos.exe、ocomm.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote。exe,outlook.exe,战俘erpnt.exe、steam.exe、thebat.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、notepad.exe删除卷影副本:获取系统信息,然后根据创建相应的加密量处理器数量Thread:跳过以下文件和文件夹:AppData、Boot、Windows、Windows.old、TorBrowser、InternetExplorer、Google、Opera、OperaSoftware、Mozilla、MozillaFirefox、$Recycle.Bin、ProgramData、AllUsers,自动运行。inf,boot.ini,bootfont.bin,bootsect.bak,bootmgr,bootmgr.efi,bootmg**.efi,desktop.ini,iconcache.db,ntldr,ntuser.dat,ntuser.dat.log,ntuser.ini,thumbs.db,程序文件,程序文件(x86),#recycle,...,跳过“.exe”、“.dll”、“.babyk”后缀的文件:给文件加上“.babyk”后缀进行加密,加密算法采用ECDH+HC-128:为了避免文件被由于被进程占用而无法加密,除了结束特定的进程和服务,Babuk还使用WindowsRestartManagerWindowsRestartManager让除关键系统服务以外的所有程序或服务关闭和重启,可以减少或避免程序安装或更新期间所需的重新启动次数。Babuk使用它来使文??件顺利加密。写勒索信息:Linux:Linux版本需要增加参数指定加密路径。加密后会输出未加密文件、加密文件、跳过文件、所有文件个数和加密文件数据量:yes"Encryptfileswith.log",".vmdk",".vmem",".vswp”,和“.vmsn”后缀:加密文件加“.babyk”后缀,加密算法为ECDH+Sosemanuk:勒索信息与windows版本相同:日常工作中对重要数据文件进行日常加固,设置相应的访问权限,关闭不必要的文件共享功能,定期进行异地备份;使用高强度主机密码,避免多台设备使用同一个密码,不要直接将3389等端口映射到外网,防止暴力破解;避免打开来源不明的邮件、链接、URL附件,尽量不要从非官方渠道下载非正版应用软件。如果发现文件类型与图标不符,应先使用安全软件对文件进行扫杀;定期检测系统漏洞,及时进行补丁修复。
