2021年3月,MicrosoftExchange漏洞利用事件被公布并报道。超过10个APT黑客组织针对ExchangeServer中的四个0-day漏洞。同时,安全厂商发现近7000个通过Exchange漏洞植入的webshel??l被攻击者用于后续恶意操作,其中包括DearCry勒索病毒。虽然MicrosoftDefender在检测到DearCry时已经自动更新了定义文件来拦截DearCry,但只要微软不修补本月初披露的ProxyLogon漏洞,其他勒索软件就会找上门来。自3月18日以来,研究人员发现一个黑客组织已开始使用BlackKingDom勒索软件来攻击易受攻击的Exchange服务器。损害。它可能与去年在易受攻击的PulseSecureVPN集中器软件上运行的同名勒索软件有关。WebShell投递BlackKingDom的投递是通过一个IP地址位于德国185.220.101.204的远程服务器精心策划的,而攻击者运行在185.220.101.216,因为这两个IP地址都属于Tor出口节点,所以无法获知攻击者的实际位置。攻击者利用了本地版本的MicrosoftExchangeServer中的远程代码执行(RCE)漏洞,也称为ProxyLogon(CVE-2021-27065)。成功攻破Exchange服务器后,攻击者通过webshel??l远程访问服务器,然后执行任意命令。Webshel??lChackLogsPL.aspx植入位置:我们观察到的其他webshel??l文件名包括ckPassPL.aspx和hackIdIO.aspx。Webshel??l由w3wp.exe写入磁盘,w3wp.exe是一个托管Exchange管理中心(EAC)的Internet信息服务器(IIS)工作进程,Microsoft在内部将其命名为ECP(Exchange控制面板):部署webshel??l后执行勒索软件和行为,攻击者通过发出PowerShell命令发起攻击(由于大小限制,此处未完整显示):解码为以下脚本(为便于阅读而修改):脚本从此处下载勒索软件负载:hxxp://yuuuuu44[.]com/vpn-service/$(f1)/crunchyroll-vpn$(f1)部分是由函数f1生成的,它生成一个随机的15个字母字符的字符串,所以实际的URL看起来是这样的:hxxp://yuuuuu44[.]com/vpn-service/ojkgrctxslnbazd/crunchyroll-vpn(在撰写本文时,yuuuu44域将访问者重定向到NASA.GOV)攻击者将勒索软件有效负载发送到\\[ComputerName]\c$\Windows\system32\文件夹,payload文件名也是由f1函数随机生成的ion,例如:C:\Windows\System32\ojkgrctxslnbazd.exe脚本通过WMI(Windows管理界面)调用Win32_Process执行勒索病毒,该脚本还具有将勒索病毒上传到网络上其他计算机并执行的功能它。受影响的勒索软件二进制文件基于Python脚本,通过PyInstaller编译成可执行文件。我们将二进制文件反编译回原始源代码,创建者将其命名为0xfff.py,其中“fff”代表十进制数4095的十六进制值,其含义未知。勒索软件有一个内置的文件夹名称列表,其中的内容未加密:勒索软件试图在服务名称中使用SQL来停止计算机上运行的数据库服务,推测也对它们进行加密:加密密钥是使用以下代码生成:gen_string函数调用生成一个长度为64个字符的随机字符串,脚本使用MD5对该值进行哈希处理,将其转换为十六进制字符,并将其用作加密密钥。它还会生成gen_id,这是勒索软件嵌入到勒索票据中的受害者标识符。然后将密钥和gen_id上传到mega.io帐户,如果由于某种原因勒索软件无法将这个随机生成的加密密钥上传到Mega,它的回退是硬编码静态密钥的形式:文件系统行为很简单:读取(raw)>overwrite(encrypted)>rename:每个文件代表的功能如下:它应该的应用程序:我们的密码保护系统捕获了勒索软件试图加密的数据,原始遥测显示通过WMI执行的勒索软件二进制文件,如下所示(从3到1的反向读取进程跟踪序列):进一步复杂化和阻碍事件响应,勒索软件删除Windows事件日志:一旦系统被加密(或工作20分钟后),勒索软件运行禁用鼠标和键盘的子程序,并在桌面上打开一个全屏窗口。生成的屏幕窗口如下所示,带有倒数计时器:除了加密数据外,赎金票据还存储在一个名为crypto_file的文件中。受害者已支付赎金:本文翻译自:https://news.sophos.com/en-us/2021/03/23/black-kingdom/
