​Kaspersky：BlackCat技术分析

该团伙将自己描绘成 BlackMatter 和 REvil 等勒索团伙的继任者。攻击者声称他们已经解决了勒索软件开发中的所有错误和问题，并在编码和基础设施方面创造了完美的产品。然而，一些研究人员认为该团伙不仅是 BlackMatter 和 REvil 组织的继任者，还是一个品牌重塑。有数据表明，BlackCat 的一些成员与 BlackMatter 有关联，因为他们修改并重复使用了自定义工具 Fendr，该工具仅在 BlackMatter 活动中被检测到。

使用改良版的 Fendr（也称为 ExMatter）表示 BlackCat 与过去的 BlackMatter 活动有关联。该团伙在 2021 年 12 月到 2022 年 1 月大规模分发恶意软件。BlackMatter 使用 Fendr收集敏感信息，以进行其双重勒索计划。此外，对这种重用工具的修改展现了一种更复杂的规划和开发方案，以使需求适应目标环境，这是成熟犯罪团伙的特征。

两起攻击事件

最近发生的两起 BlackCat 攻击事件非常有趣。一个揭示了共享云托管资源带来的风险，另一个展现了一种灵活的方法，可以在 BlackMatter 和 BlackCat 活动中重用定制的恶意软件。

在第一起攻击中，勒索团伙似乎入侵了中东的一个ERP 提供商，该提供商托管了多个网站。攻击者同时将两个不同的可执行文件发送到同一物理服务器，目标是虚拟托管在服务器上的两个不同组织。初始访问被攻击者误认为有两个不同的物理系统和驱动器被感染和加密。kill chain是在“预加密”活动之前触发的，但真正有趣的点在于共享漏洞和跨云资源共享资产的风险。同时，该团伙还分发了一个 Mimikatz 批处理文件，以及可执行文件和 Nirsoft 密码恢复工具。在一个可以追溯到 2019 年的类似事件中，BlackMatter 的前身 REvil似乎也入侵了涉及美国大量牙科诊所的云服务。这也许是同一个团伙使用了相同的旧策略。

第二起攻击涉及南美的一家石油、天然气、采矿和建筑公司，这一事件进一步将 BlackMatter 勒索软件活动与 BlackCat 联系起来。攻击者不仅在目标网络内安装 BlackCat 勒索软件，还在安装前大约 1 小时 40 分钟，安装了一个修改过的自定义工具 Fendr。该工具也称为 ExMatter，以前专门用于 BlackMatter 勒索活动。

在这里，可以看到 BlackCat 团伙增加了文件扩展名的数量，用于该工具的自动收集和渗透：

技术细节

这些额外的文件扩展名用于工业设计应用程序，如 CAD 图纸和一些数据库，以及 RDP 配置设置，使该工具更适合工业环境。而且，如果相信 PE 头是时间戳，该团伙在初次使用前几个小时编译了这个 Fendr 变体。

此次分析的 BlackCat 勒索软件文件“<xxx>_alpha_x86_32_windows_encrypt_app.exe”是一个用 Rust 编码的 32 位Windows 可执行文件。最终Rust编译的二进制文件使用Rust标准库，并带有大量的安全检查、内存分配、字符串处理和其它操作。还包括各种带有所需功能的库的外部板块，例如 Base64、AES 加密等。这种特殊的语言及其编译使反汇编分析更加复杂。但是，通过在 IDA（或其它反汇编程序，例如 Ghidra）中应用适当的方法和 Rust STD 函数签名，可以通过静态分析了解恶意软件的全部功能。

恶意软件的外部板块

Rust 是一种交叉编译语言，因此许多BlackCat的 Linux 样本在其 Windows 同类产品出现不久之后，也迅速出现在野外。

这个 BlackCat 样本是一个命令行应用程序。执行后，它会检查提供的命令行参数：

恶意软件的命令行参数

BlackCat 可提供基础设施、恶意软件样本和赎金谈判，并且可能还提供套现。任何人都可以使用 BlackCat 的样本来感染目标。

命令行参数是不言自明的。有些与虚拟机相关，例如清理或不清理虚拟机快照，或者在ESXi上关闭虚拟机。此外，还可以选择特定的文件文件夹来处理或作为一个子进程执行恶意软件。

执行后不久，恶意软件会从相应的 Windows 注册表项中获取“MachineGuid”：

获取机器 GUID

此 GUID 稍后将在加密密钥生成过程中使用。

然后，该恶意软件通过创建一个新的cmd.exe进程，使用作为单独命令执行的WMIC查询获得一个唯一的机器标识符（UUID）：

获取 UUID

此 UUID 与“–access-token”命令行参数一起使用，以生成用于识别目标的唯一 ACCESS_KEY。

BlackCat 勒索软件使用 Windows 命名管道进行进程间通信。例如，由cmd.exe进程返回的数据将被写入命名管道，随后被恶意软件处理:

管道创建

管道的名称不是唯一的，并且被硬编码到恶意样本中。

恶意软件会检查它在哪个版本的 Windows 操作系统下执行。这是使用 Process EnvironmentBlock structure获取的：

获取操作系统版本

操作系统版本是使用合适的权限提升技术所必需的，例如：

• 简单的进程令牌冒充

• COM 提升名称绕过 UAC

COM 对象初始化

该恶意软件使用了一种先前已知的技术，例如LockBit勒索软件使用的技术，利用了一个无文档的COM对象（3E5FC7F9-9A51-4367-9063-A120244FBEC7）。它容易受到CMSTPLUAUAC绕过的影响。

使用“cmd.exe”恶意软件执行一个特殊命令：

fsutilbehavior set SymlinkEvaluation R2L:1

该命令调整 Windows 文件系统符号链接的方式。它使恶意软件使用远程路径的快捷方式。

另一个作为预加密的一部分执行的命令是：

vssadmin.exedelete shadows /all /quiet

这几乎是所有勒索软件的标配，会删除所有 Windows shadow的副本备份。然后恶意软件获取需要杀死（Kill）的服务列表，以及加密过程中需要排除的文件和文件夹，杀死（Kill）进程并使用单独的线程开始加密：

要杀死（Kill）的进程列表

此样本使用“–access-token xxx–no-prop-servers \xxx –propagated”命令行参数运行。除了上述的活动外，恶意软件还会尝试进行传播，但不会重新感染它尝试运行的服务器。它使用“iisreset.exe /stop”停止系统上托管的所有 IIS 服务，使用“arp -a”检查局域网是否可以立即访问系统，并通过增加MaxMpxCt到所允许的最大值，增加客户端和服务器之间可执行的并发命令的数量上限：

cmd /c regaddHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters/vMaxMpxCt /d65535 /t REG_DWORD /f

此外，值得注意的是，该团伙使用 PsExec 的压缩版本在组织内横向移动。恶意软件会在加密文件中附加一个扩展名，但具体的扩展名因样本而异。可以在恶意软件的 JSON 格式配置文件中找到硬编码的扩展名。

对于加密，恶意软件使用标准的“BCryptGenRandom”Windows API 函数来生成加密密钥。使用 AES或 CHACHA20 算法加密文件，从配置文件中提取用于加密本地密钥的全局公钥。

这些可执行文件中的大多数都保留了一组硬编码的用户名/密码组合，这些用户名/密码组合是早先从目标组织中窃取的，用于在传播和权限提升期间使用。通常有将近6个帐户，以及域管理和服务级别凭据的组合。这意味着可执行文件是专为目标组织编译的，其中包含了有关组织的敏感信息。

在加密过程之后，恶意软件会发送一封勒索通知，其中包含有关联系 BlackCat 勒索软件运营团伙的详细信息。

结论

在 REvil 和 BlackMatter 退出后，另一个勒索团伙出现只是时间问题。目前 BlackCat 成为勒索软件市场的主要参与者。

在这里，研究人员通过对恶意软件 Fendr 的重用，将 BlackCat 与过去的 BlackMatter 活动联系起来。该团伙针对从工业网络环境中常见的数据存储中收集的目标修改了恶意软件。BlackCat 在 2021 年 12月和 2022 年 1 月试图在至少两个组织内安装恶意软件。过去，BlackMatter 先使用 Fendr 收集敏感信息，来支持他们的双重勒索计划，就像 BlackCat 现在所做的那样。对于重用工具的修改展示了一个更复杂的规划和开发方案，以适应目标环境的要求，这是一个更有效和更有经验的犯罪计划的特点。

原文链接：

https://securelist.com/a-bad-luck-blackcat/106254/

原文始发于微信公众号（维他命安全）：​Kaspersky：BlackCat技术分析