勒索软件系列报告之二丨新兴的勒索软件BianLian

世界经济论坛发布的《2022年全球网络安全展望》报告显示，勒索软件攻击在全球网络领导者网络威胁关心问题中排名第一，成为全球广泛关注的网络安全难题。天际友盟双子座实验室推出了《勒索软件系列报告》，本系列报告正是以当前最为活跃的勒索软件攻击为主题展开，聚焦暗网中多个活跃的勒索软件组织或团伙，梳理各个勒索软件的发展阶段、剖析关键技术细节、盘点重大攻击事件，对勒索软件组织或团伙进行全面画像，希望为未来应对勒索软件攻击提供有力的参考。

《新兴的勒索软件BianLian》是本系列报告的第二篇，内容包括背景、技术详情、运营特点、总结和附录五个章节，以下为报告内容节选。

作为2022年比较活跃的勒索软件之一，BianLian勒索软件最早出现在2021年12月，当时仅限于小规模的攻击活动。直至2022年8月份，BianLian勒索软件才开始大规模活跃，主要针对美国（超过50%）和欧洲多个国家，攻击目标行业遍布教育、制造、金融、医疗、娱乐、建筑、云服务等多个领域，其中医疗领域涉及最多，包括制药、医疗器械、医疗机构等。研究发现，BianLian勒索软件团伙攻击的目标主要为英语国家，再结合其攻击的行业，可以看出BianLian应该是一个以经济利益为目标的团伙，并没有掺杂其它政治因素。

像大多数勒索软件一样，BianLian使用了双重勒索的攻击方式，在加密目标文件后会把窃取数据发布在其暗网的官网上，并限定期限缴纳赎金。仅在2022年8-10月份这两个多月的时间，BianLian团伙就在暗网上披露了十几家受害者数据，但从十月下旬开始，BianLian就变得非常低调，攻击活动也逐步减少。

开发语言

BianLian是基于GoLang自主开发的勒索软件，Go语言的特点就是易移植，适用性强，而且逆向困难，不容易被破解。尤其是它对并发的强大支持，增强了勒索软件快速攻击的能力。

攻击方式

BianLian勒索软件利用ProxyShell漏洞链（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）初步访问受害者网络，成功利用漏洞后，攻击者会部署一个webshell或利用其它远程访问方案，如ngrok作为后续有效载荷。BianLian还可以针对SonicWall VPN设备漏洞进行利用，并试图利用弱凭据或已暴露的凭据进行远程访问。研究发现，攻击者从获得初始访问权限到实际加密文件的停留时间可长达六周。

BianLian最初会尝试在整个网络中传播，窃取最有价值的数据并识别关键机器进行加密，如果确定了目标主机，他们就会使用标准的LotL（即Living off the Land）方法进行横向移动。LotL指的是入侵者利用目标系统中可用的合法软件和功能对其执行恶意操作。BianLian攻击者会使用nssm.exe和反向代理ngrok.exe的组合在服务器上创建后门，之后利用RDP、WinRM、WMI 和PowerShell等LotL方法来实现网络分析和横向移动。

定制后门

BianLian还定制开发了简单而有效的后门，主要部署在受害者网络的机器上，实现其有效载核的正常加载。虽然BianLian利用和部署了具有大量内置命令的多个远程访问工具，但它的后门程序是一种核心有效的机制，可以保证从C2服务器加载任意有效负载并执行。BianLian将每个后门二进制文件配置一个硬编码的IP和端口组合，利用不同的端口进行通信，所以其每个后门文件都有一个唯一的哈希值，从而阻止了防御规则中通过简单的基于哈希校验策略的检测。

攻击特点

BianLian勒索团伙在攻击的初始阶段非常谨慎，尽量避免引起目标的注意。他们一般不会直接ping目标，而是使用arp命令。即使在使用ping命令的情况下，通常也只发送一个ping命令，这一般不会引起目标主机的注意。一旦BianLian攻击者确定了他们想要访问的目标主机，就会使用之前提到的LotL技术，例如使用net.exe来添加和修改用户权限，使用netsh.exe来配置主机防火墙策略，以及利用reg.exe来修改各种注册表和安全策略以实施相关攻击。

待时机成熟BianLian决定开始加密受害者网络时，就会立即采取激进的方法，攻击任何阻碍其加密工具运行的的网络或基于主机的防御。研究发现，在一次攻击的前30分钟内，研究人员见证了数十次加密少数服务器的尝试，即使每次尝试都被EDR或AV阻止，攻击者也会在接下来的几个小时里试图绕过安全控制并访问其他非目标服务器，以尝试成功获取权限，加密受害者文件。

加密过程

BianLian勒索软件的加密过程，我们以一个加密器样本为例。样本使用Go语言编写，会有一个唯一构建的GoLang ID，运行过程如下：

(1) 首先尝试通过GetProcAddress() API 检查wine_get_versio()函数来识别文件是否在WINE环境中运行；

(2) 使用CreateThread() API函数创建多个线程以执行更快的文件加密；

(3) 识别系统驱动器（从A盘到Z盘），加密驱动器中可用的任何文件，但是会排除.exe、.dll、.sys、.txt、.lnk和.html等类型的文件扩展名；

(4) 加密开始时会在多个文件夹中创建一个名为look at this Instruction.txt的赎金记录文件；

(5) 创建赎金记录后，勒索软件通过使用FindFirstFileW()和FindNextFileW() API 函数枚举文件和目录以进行加密。勒索软件主要使用GoLang加密软件包进行AES和RSA加密。加密时，勒索软件从原始文件中读取10个字节，然后加密字节并将加密数据写入目标文件。将数据分成小块是一种规避防病毒产品检测的有效方法；

(6) 使用“.bianlian”扩展名重命名加密文件，并使用MoveFileExW()函数将它们替换为原始文件 ；

(7) 在文件加密的同时，把用于文件泄露和远程访问的多个工具下载到多个服务器并执行，用以回传数据。

赎金记录

在创建的赎金记录文件中，攻击者宣称受害者的重要数据（例如财务、客户、业务、技术资料和个人文件等）均已被下载，如果在十天内未支付赎金，将发布在其泄漏网站上。赎金记录还包含用于谈判的 TOX Messenger的ID和泄漏站点页面的暗网地址。赎金记录文件打开如下图所示：

勒索赎金文件

BianLian勒索软件从一开始就展现出不凡的技术水平，可以说代表了一群非常擅长网络渗透攻击，但对勒索软件业务运营相对较新的一类组织或团伙。

从其技术水平来看，BianLian团伙开发了一个由后门和加密器组成的自定义工具集，两者都使用Go编程语言进行开发，紧跟最新的恶意软件发展潮流。

在基础设施方面，BianLian团伙主要使用基于Linux的主机作为他们的C2服务器，但也发现了Windows服务器在其攻击中使用的证据。BianLian勒索软件的C2 组件也是用Go语言编写的，这可能使他们能够轻松地在任一操作系统上部署自己的C2解决方案。

研究人员在2021年12月底首次发现了BianLian的一个C2服务器，直至2022年7月底，活跃的服务器大约达到10台。而从8月份开始，BianLian突然在其运营基础架构中添加很多新的C2节点，月底约有30多个活跃IP，短短几周达到了三倍。虽然我们无法确认这种突然爆发增长的原因，但这表明BianLian团伙已准备好加快运营节奏。

从其运营水平来看，这个团伙可能还比较年轻，对如何运作勒索软件和获取勒索赎金方面似乎还在探索阶段，该团伙也同时采用Raas模式进行分发。像其它活跃勒索软件一样，BianLian也在暗网上运作了一个数据泄露网站，专门用于披露其从攻击目标获取的数据。从2021年12月份开始，BianLian已经在其网站上披露了37个受害者的名称和相关数据信息，但这些还不包括那些可能已经支付了赎金的受害者。

BianLian信息泄露网站首页：

BianLian暗网首页

BianLian网站上披露的受害者名单如下：

BianLian受害者信息列表

BianLian勒索软件的受害者主要来自美国、英国、澳大利亚、印度、瑞士等国家，，行业分布也比较广泛。

BianLian勒索软件攻击行业分布

从其攻击的30多个目标来看，这个团伙还是比较低调，并没有造成非常恶劣的影响，也没有涉及政府和军工等政治相关的领域，这样不容易引起目标国家安全部门的调查和封杀。

BianLian作为2022年最为活跃的勒索软件之一，其背后的运营团伙似乎还比较年轻，但BianLian依然保持着较高的技术水平和低调的攻击风格。BianLian开发了自己的加密工具和后门软件，攻击过程中在没有正式加密目标文件之前会长期保持自己的隐蔽状态，寻找最佳机会一举成功。该团伙攻击行业非常广泛，明显以获取经济利益为目的。其攻击国家主要针对欧美地区，目前并没有发现针对国内的攻击。但是我们也要加强防范意识，及时对网络资产中的重要漏洞和系统打补丁，加固远程访问策略，降低勒索软件入侵的可能性。

BianLian勒索软件在2022年的8月到10月期间异常活跃，虽然之后比较低调，我们猜测也许其内部发展运作出现了问题，也有可能在研究新的攻击方式，开发新的工具集。不管怎样，我们都要准备着BianLian团伙随时都有可能掀起一波新的攻击浪潮。

点击阅读原文，获取完整报告。

勒索软件系列报告之一丨LockBit勒索软件进阶之路

---

一直以来，天际友盟秉承“创造安全价值”的理念，致力于提供全生命周期的数字风险防护服务，为客户的数字化业务保驾护航。天际友盟以专注的威胁情报技术研究能力为支撑，以成熟多样的产品与服务落地，将数字风险防护的价值应用到众多客户的多样行业场景之中。

天际友盟技术骨干均为国内安全行业的专家人才，有着超过10年的安全从业经验，对威胁情报、数字风险、大数据分析、人工智能等领域有着深入的了解和丰富的实践经验。

天际友盟目前在北京、上海、深圳、广州、珠海、西安、沈阳、长春、哈尔滨、长沙、石家庄、太原、香港、澳门等多地设有分支机构，为全国各地的客户及合作伙伴提供及时、高效、优质的服务。

了解更多内容请访问：https://www.tj-un.com

客户案例

威胁情报

CNCERT | 上海网信办 | 国家信息中心 | 国家电网

中国航信 | 中国电子技术标准化研究院 | 青岛税务局

河北省税务局 |中国银行 | 宁夏银行

国家信息技术安全研究中心 | 天津经开区 | ASTRI

华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车

河南电力 | 北京电力 | 浙江电力 | 中国移动

中国电信北京研究院 | 湖南广电 | Green Radar

北京电视台 | 天懋信息 | 核工业计算机应用研究所

上海观安 | 数梦工场 | 重庆银行 | 北京安态

数字风险防护

中国银行 | 交通银行 | 厦门国际银行

深圳农村商业银行 | 泉州银行 | 立桥银行 | 秦皇岛银行

黄河农村银行 | 乌鲁木齐银行 | 中国银联 | 泸州银行

昆仑银行 | 绵阳市商业银行 | 中泰证券 | 辉腾金控

安信证券 | 中国航信 | 大业信托 | 国信证券 | 国信期货

国家电网 | 核工业计算机应用研究所 | 顺丰速递

青岛市税务局 | 河北省税务局 | 中国密码学会

一图一数 | 抖音 | Tiktok | 懂车帝 | 字节跳动

火山小视频 | Musical.ly | 火币网 | OKCoin | Bit-Z

西瓜视频 | 京东 | 今日头条 | TANDL

原文始发于微信公众号（天际友盟）：勒索软件系列报告之二丨新兴的勒索软件BianLian