揭秘最新勒索之王BlackMatter的真实面孔

admin 2022年1月10日11:31:19安全新闻评论24 views2793字阅读9分18秒阅读模式
揭秘最新勒索之王BlackMatter的真实面孔



基本信息

BlackMatter勒索病毒是一款基于RAAS模式的新型勒索软件,勒索病毒黑客团伙声称已经集成了诸如DarkSide、REvil和LockBit等勒索软件的最佳功能。近日,安恒信息应急响应工程师捕获到BlackMatter勒索样本,安恒信息西安安全运营能力中心联合分子实验室研究人员@ghostsang联合分析。该病毒似乎具备横向传播能力,传播恶意软件到域控服务器,并采用HTTP+AES进行通信,RSA+salsa20进行文件加密。    


样本基本信息如下:

文件名称

911.exe

文件MD5

50C4970003A84CAB1BF2634631FE39D7

文件类型

PE 32

文件CRC

3F111BAC

文件SHA1

721A749CBD6AFCD765E07902C17D5AB949B04E4A

文件大小

79872 bytes


行为分析

样本执行流程图如下:

揭秘最新勒索之王BlackMatter的真实面孔


加密文件并根据主机特征生成后缀:

揭秘最新勒索之王BlackMatter的真实面孔

勒索软件对文件进行加密,并在每个被加密文件的末尾添加132字节的blob(前4字节用于判断文件是否已被加密,后128字节为RSA公钥加密后的salsa20密钥流):

揭秘最新勒索之王BlackMatter的真实面孔

加密完成后修改桌面背景如下:

揭秘最新勒索之王BlackMatter的真实面孔


勒索信内容如下:

揭秘最新勒索之王BlackMatter的真实面孔


分析发现,所有被加密文件blob内容均相同,也就是加密文件时使用的密钥相同,64字节salsa20密钥流。因此存在爆破或内存dump扫描密钥的可能。



样本分析

样本自实现加密外壳,简单脱壳处理后,主要过程代码如下:

揭秘最新勒索之王BlackMatter的真实面孔

勒索病毒主体函数


通过注册表查询MachineGUID,使用MD4算法生成字符串作为互斥对象,以防止勒索软件多开。

揭秘最新勒索之王BlackMatter的真实面孔

Mutex字符串生成代码


将JSON格式配置内容解密,获取计算机名、用户名、操作系统版本、语言环境、磁盘信息,并填写JSON对应字段。

揭秘最新勒索之王BlackMatter的真实面孔

内存中初始化配置数据


收集到的环境相关信息采用AES算法ECB方式加密,然后使用base64编码发送到C2(mojobiden[.]com)服务器。

揭秘最新勒索之王BlackMatter的真实面孔

在HTTP通信中使用的AES硬编码密钥:19 63 87 BA D8 84 22 E3 F0 84 74 FA 8F 7E 79 6E

揭秘最新勒索之王BlackMatter的真实面孔

AES加密数据解密后内容


遍历磁盘,找到并清空回收站。

揭秘最新勒索之王BlackMatter的真实面孔

清空回收站文件


通过COM接口查询命令“SELECT* FROM Win32_ShadowCopy Win32_ShadowCopy” 搜索卷影副本文件并删除以防止恢复。

揭秘最新勒索之王BlackMatter的真实面孔

WQL查询语句


查找并关闭以下服务:mepocs、memtas、veam、svc$、backup、sql、vss、msexchange。

揭秘最新勒索之王BlackMatter的真实面孔

枚举与删除服务


查找并关闭以下进程:encsvc、thebat、mydesktopqos、xfssvccon、firefox、infopath、winword、steam、synctime、notepad、ocomm、onenote、mspub、thunderbird、agntsvc、sql、excel、powerpnt、outlook、wordpad、dbeng50、isqlplussvc、sqbcoreservice、oracle、ocautoupds、dbsnmp、msaccess、tbirdconfig、ocssd、mydesktopservice、visio。

揭秘最新勒索之王BlackMatter的真实面孔

结束进程


检查本地组和成员身份。

揭秘最新勒索之王BlackMatter的真实面孔

检查成员身份


获取MailBox目录并加密。

揭秘最新勒索之王BlackMatter的真实面孔

MailBox目录


调整进程I/O优先级,然后使用I/O口快速加密磁盘文件。

揭秘最新勒索之王BlackMatter的真实面孔

优先级调整


创建I/O端口进行快速加密。

揭秘最新勒索之王BlackMatter的真实面孔

创建I/O


通过环境变量获取ExchangeInstallPath,并加密Exchange目录文件。

揭秘最新勒索之王BlackMatter的真实面孔

加密Exchange目录


主加密逻辑如下:

在目录下释放勒索信。

揭秘最新勒索之王BlackMatter的真实面孔

释放勒索信


2.遍历目录,加密文件。

揭秘最新勒索之王BlackMatter的真实面孔

文件遍历


3.如果待加密文件被其他进程占用,则关闭进程并继续加密。

揭秘最新勒索之王BlackMatter的真实面孔

确保完成文件加密


4.读取文件最后132个字节,并使用后面的128字节计算4字节ID,如果4字节ID与前4字节相同,则表示文件已加密,无需进行任何操作。

揭秘最新勒索之王BlackMatter的真实面孔

5.如果文件大于1M,只对前1M加密,当文件小于1M则全部加密。

揭秘最新勒索之王BlackMatter的真实面孔

文件大小判断


6.生成8字节随机数,共15次,再加上RSA硬编码公钥的前4个字节和4个字节的零拼接128字节blob,前64字节作为salsa20密钥流。

揭秘最新勒索之王BlackMatter的真实面孔


使用内置的RSA公钥加密salsa20密钥流,该密钥流被加密并存储在加密文件的最后128个字节中。

分析时发现,该病毒只生成一次随机密钥加密所有文件,因此存在可能从病毒进程中dump出salsa20密钥流。

揭秘最新勒索之王BlackMatter的真实面孔

文件加密线程


扫描计算机卷名,并将它们转换为磁盘路径,以便将卷与其他卷相关联(挂载文件)。

揭秘最新勒索之王BlackMatter的真实面孔

恶意DLL收集终端信息


枚举域控以及LDAP远程访问,似乎具有横向传播能力。

揭秘最新勒索之王BlackMatter的真实面孔


揭秘最新勒索之王BlackMatter的真实面孔

枚举域控


通过HTTP与C2进行交互,发送AES加密后的本机信息。

揭秘最新勒索之王BlackMatter的真实面孔

网络操作


以POST方式发送加密信息到C2服务器。

揭秘最新勒索之王BlackMatter的真实面孔

网络请求


病毒判断当前启动模式如果处于安全模式,则添加注册表项实现开机自启动,禁用安全模式,并重启计算机,bcdedit /deletevalue {current} safeboot。

揭秘最新勒索之王BlackMatter的真实面孔

判断启动模式

绘制桌面背景。

揭秘最新勒索之王BlackMatter的真实面孔

绘制背景


如果存在打印机,会通过打印机打印勒索信内容。

揭秘最新勒索之王BlackMatter的真实面孔

调用打印机


我们对比DarkSide进行分析,发现该算法与BlackMatter加密算法高度一致。我们怀疑BlackMatter团伙由DarkSide团伙部分成员组建。

揭秘最新勒索之王BlackMatter的真实面孔

加密对比


总结



BlackMatter声称结合了多种勒索软件的优点,在分析过程中,发现该病毒似乎会横向传播到域控制器并加密网络共享文件。应设置严格访问策略防止横向传播。该病毒确实对文件进行了快速加密。但是,当病毒运行时,密钥流只生成一次以加密所有文件,如果要恢复文件,必须在病毒感染第一时间进行内存取证,当病毒进程没有完全结束时,仍然可以从内存中扫描获得密钥信息。RSA私钥尚未公开,无法制作通用解密器。且由于密钥流长度为512位(64字节),导致对单台终端进行爆破解密也几乎难以完成。


IOC


mojobiden[.]com

http://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid[.]onion/0JOA98TDMXLHJ77VDOO

19 63 87 BA D8 84 22 E3 F0 84 74 FA 8F 7E 79 6E(AES_key)


加固建议


1.定期检测系统漏洞并及时更新补丁;

2.做好重要数据资料定期备份;

3.定期修改用户名密码,避免使用弱口令;

4.不随意打开来历不明的邮件及附件;

5.不随意下载或打开来历不明的文件;

6.工作中的重要文件资料应设置严格的访问权限;

7.可使用安恒威胁分析平台https://ti.dbappsecurity.com.cn对未知文件进行检测。



安恒应急响应中心

2021年08月


本文始发于微信公众号(安恒信息应急响应中心):揭秘最新勒索之王BlackMatter的真实面孔

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月10日11:31:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  揭秘最新勒索之王BlackMatter的真实面孔 http://cn-sec.com/archives/478034.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: