虽然 8Base 和 Phobos 一直成功地作为数据勒索组织在雷达下飞行，并且瞄准了较小的公司，但在 LockBit 的背景下，当他们说自己类似于 LockBit 是“诚实的渗透测试者”时，他们引起了我的注意。

让我们从关于8Base（Orange Cyberdefense World Watch）的简短概述开始：

• 相关视频教程

• 恶意软件开发（更新到了155节）

名为 8Base 的勒索软件团伙以数据勒索而闻名。该团伙于 2023 年 5 月推出了其数据泄露网站，声称自己是“诚实和直截了当”的勒索者，为公司提供公平的条件来恢复他们的数据。他们声称，受害者名单仅包括忽视其员工和客户数据的机密性和重要性的公司。

根据 ThreatMon 的一份报告，勒索软件通过多种方法分发，包括网络钓鱼电子邮件、未经请求的下载和漏洞利用工具包。部署后，勒索软件会加密文件并添加 .8base 扩展名。迄今为止，该集团主要针对商业服务、金融、制造和 IT 领域的中小型企业 （SME）。

VMware 的分析揭示了与 RansomHouse 勒索软件组织的几个相似之处。事实上，各种元素，如泄密网站、赎金记录内容和常见问题解答页面非常相似（它们似乎是复制粘贴的）。但是，两组之间存在重大差异。RansomHouse 是一种网络犯罪勒索行动，它发布被盗文件的证据并泄露拒绝支付赎金的组织的数据。然而，该团伙不使用勒索软件，而是专注于通过所谓的漏洞破坏网络以窃取目标的数据。更重要的是，RansomHouse 宣传其合作伙伴关系并公开招募合作伙伴，而 8Base 则没有。VMware 提供的证据不足以将这两项操作直接联系起来。尽管如此，有理由怀疑 8Base 不是由 RansomHouse 成员产生的，还是仅仅由模仿者产生的。

此外，勒索软件研究还显示，8Base 利用了 Phobos v2.9.1 勒索软件的定制版本，该版本通过 SmokeLoader 加载。Phobos 是一种 RaaS，于 2019 年首次出现，与 Dharma 勒索软件操作有许多代码相似之处。其他威胁行为者使用 RaaS 并不奇怪，也没有足够的证据将这两种行动直接联系起来。尽管如此，根据 ID-Ransomware 的说法，Phobos 过去也使用 .eight 扩展名来加密其数据。这些扩展名称的接近也可能表明这两个威胁参与者之间存在联系。

最后，使用恶意域和 SystemBC（一种使用威胁生态系统中经常使用的 SOCKS5 的恶意代理）部署了最终的勒索软件负载。

在在研究过程中，我意识到这些威胁行为者到底有多聪明，他们可能有一个掌握钥匙的策划者，类似于指环王，奴役所有人并束缚他们，你可以在Talos Intelligence博客中读到关于火卫一的内容：

我们还评估说，火卫一可能由控制勒索软件私钥的中央机构密切管理。对于Phobos决定加密的每个文件，它会生成一个随机的AES密钥以用于加密，然后使用配置数据中存在的RSA密钥对该密钥以及一些元数据进行加密，并将此数据保存在加密文件的末尾。这意味着为了解密文件，需要与该公共 RSA 密钥相对应的私钥。

我们分析的每个 Phobos 样本在其配置数据中都包含相同的公共 RSA 密钥，这意味着只有一个私钥能够解密。我们评估单个威胁参与者控制私钥，因为我们分析的每个样本都包含相同的公钥。Phobos 开发人员可能会向他们的附属公司提供解密服务，以削减他们的诉讼程序。

浮士德、SmokeLoader 和威胁狩猎机会

在在下面的文章中，我将尝试将 Phobos 的不同勒索软件变体与最后一个变体 Faust 的勒索软件变体进行比较，补充我自己从技术分析中发现的结果，目的是找出固有的、不变的程序和工件。与往常一样，从检测工程的角度来看，目标是编写鲁棒的检测并找到威胁搜寻机会。

使用 8Base，它相对简单：如果您知道一个勒索软件组织，您就知道所有勒索软件组织。除了一些让我着迷的技术特性外，基本上没有关于威胁搜寻的新见解，例如执行勒索软件的 SmokeLoader。在恶意软件中，还有其他工具的发现，例如 Dark Tortilla、Costura Assembly Loader 和 SystemBC。

这次我还用了思维导图来跟踪事情。当我有机会时，我也会在 github 上发布它。

在我介绍8Base的技术细节和基础设施之前，这个小组的背景也非常有趣。

CryptBB & Babuk

T这里有很多关于哪些附属公司可能与 8Base 合作的猜测。从历史上看，勒索软件 Dharma/Crysis 已被使用，然后 Phobos 开发了不同的变体，例如 Eking、Eight、Elbie、Devos 和现在的 Faust。通过语义分析评估，RansomHouse 和 8Base 之间也存在联系，我还遇到了一位研究人员于 2023 年 9 月在 Twitter 上发布的另一个新的勒索软件组织，暗示 CryptBB 具有相同的后端、相同的受害者、完全相同的帖子和日期、泄漏站点模板。

还有与上面提到的 RansomeHouse 和 8Base 之间的赎金票据进行比较，并有迹象表明 Babuk（也与 Rorschach 勒索软件有关）与 8Base 有联系。此信息来自 @BuschidoToken Threat Intel，他们比较了 8Base 和 Babuk ESXi 赎金记录。

当我检查 8BASE 赎金票据时，它看起来也很熟悉。事实证明，它与泄露的 Babuk 勒索软件构建者的赎金票据有很多相似之处。同样，由于 Babuk 勒索软件构建器和使用它的众多勒索软件组织的可用性，这也是一种可能的情况。8BASE 赎金票据可在 Zscaler 的 GitHub 存储库中找到（请参阅此处）。DarkAngel 的 Babuk ESXi 变体的赎金记录可从 PCRisk 获得（请参阅此处）。

他还比较了 Shadow、LockBit、8Base 和 Rancoz 等几个团体，以及赎金票据的相似之处。就像 LockBit 和 8Base 的诚实渗透测试一样，这些附属公司可能使用相同的平台或基础设施，即使他们可能没有一起工作，或者这些组织可能只是使用“模板化 atttacks”，重用久经考验且值得信赖的 TTP。

TALOS 对 Phobos 进行了出色的技术和非技术比较，我想使用部分技术分析来寻找威胁搜寻机会，与当前的 Phobos Ransomware 加密以及自 2019 年以来基本没有变化的特定独特工件进行比较，TALOS 也发现了这一点。据研究人员称，89.6% 的代码仍与 2019 年的代码相同。

与 Rhysida 和其他 Cy-X 组织一样，威胁参与者使用 wevtutil 清除 Windows 事件日志：

FOR /F “delims=” %%I IN （'WEVTUTIL EL'） DO （WEVTUTIL CL “%%I”）

对于 Inhibit System Recovery T1490，以下命令适用于 Phobos

vssadmin 删除影子 /all /quiet wmic shadowcopy 删除
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet

exit

同样在最新的 Faust 示例中，您可以在 AnyRun 中找到：

Fst.exe.bak.exe进程显示 API 调用（在 VT 中）

它创建 .[[email protected]].faust 扩展名，这与我分析过的其他样本不同。 使用 netsh 时，它会更改防火墙配置。

图表中所有分析示例的一些技术发现

我在最新的勒索软件示例中发现了一些新的工件和 IP，并将其映射到 VT 中。本文将介绍技术深度分析。第一张图显示了有趣的IP 45.131.66.120，这是我在两次不同的攻击中看到的，以及与77.91.124.82和77.91.68.29的SystemBC连接。

下一个概述显示了 SmokeLoader 的ldx111.exe。两个具有相同名称但哈希值不同的文件，以及连接到其他 IP 和 URL 的 IP

可以在下图中找到 SmokeLoader 的沙盒结果的整体视图：

所有图表都可以在 repo 中找到。

SmokeLoader 和 UAC-006 比较

我发现 SmokeLoader 的变体很吸引人，但这些威胁行为者的 SmokeLoaders 与 UAC-0006 等民族国家行为者之间没有相关性，UAC-0006 也使用 SmokeLoader 发送带有包含 SmokeLoader 的 ZIP 文件的邮件在乌克兰与合法电子邮件帐户发生冲突。另请参阅我从 CERT-UA UAC-0006 翻译。SmokeLoader 很常见，有时与 Redline 结合使用。

技术分析 — 深入了解基础架构和勒索软件

E当然，在进一步的研究结果和工件的帮助下，我能够使用以下勒索软件文件来最大限度地分析它们，以进行检测工程和威胁搜寻：

Acronis、VmWare 和 Fortinet 还分析了具有 mtx777.exe 的 Phobos 勒索软件，具有 file.exe 和 SmokeLoader ldx111.exe变体的 Faust 变体，Fortinet 也对其进行了出色的分析。

浮 士 德

在 Faust 版本中，spreadsheet.xlsx包含另一个具有 Base64 加密和 C2 IP 地址的 VBA 宏。

它在用户目录内创建文件，文档包含嵌入的 VBA 宏。文档缺少通常存在于此 Microsoft Office 文档类型中的某个 OLE 流。该文档包含 OLE 流，其中包含以陆地二进制文件为生的名称。

我们发现的 XLAM 文档包含一个嵌入式 VBA 脚本，如图 2 所示。打开文档后，脚本会使用“Workbook_Open（）”函数触发下一阶段的 PowerShell。然后，它从 Gitea 下载 Base64 编码的数据，这些数据可以解码为干净的 XLSX 文件。然后，此文件将保存在 TEMP 文件夹中并自动打开，误导用户认为该过程已完成并且不会造成任何伤害。

在 VBA 宏中，我们看到恶意链接 hxxps://gitea.com/JoinPokingo/JingaPol/raw/branch/main/Main%20table.1.xlsx.txt

在 AnyRun 中执行链接，我们得到到 IP 地址 18.166.250.135 的 TLS 连接

在宏中，它具有用于下一阶段的上述 PowerShell 编码命令。

使用 CyberChef 在 PowerShell 中从 Base64 解码它，我们看到在内存流中创建的新对象将其从 Base64 转换为以 ASCII（干净的 XLSX 文件）编码。

.（ $env：ComSPEc[4,24,25]-JOin''）（nEw-ObJECT iO.coMPreSsION.DEflatESTream（[SYsTem.IO.memorYStrEaM] [SysteM.coNVeRT]：：FrOmbaSE64StriNg...[io.COmPreSsIOn.COmpRessIOnmoDE]：:d ECOMPREss ）|% {nEw-ObJECT io.StrEamreADer（ $_， [teXT.encODINg]：：asCiI ） }|%{ $_.REadtOeNd（）} ）

在沙盒中，您还会发现它正在以下路径中创建一个新的隐藏文件，以将其保存在 Temp 文件夹中并自动打开它：

C：UsersVirtualAppDataRoamingMicrosoftWindowsRecentCustomDestinationsd93f411851d7c929.customDestinations-ms~RF201c1f7.TMP

它创建一个新的可执行文件作为下载器，如下所述：

PowerShell 脚本从 hxxps://gitea[.] 下载数据com/JoinPokingo/JingaPol/raw/branch/main/cfmifs_CRPT[.]txt，提取“cfmifs_CRPT[.]txt“，并使用模式”DICK{（.*）}DICK“对 Base64 的结果进行解码，如图 4 所示。最后，在“$env：APPDATA..Local“，并在文件夹名称后附加两个随机生成的字符，为其指定一个新名称。可执行文件 “AVG update.exe” 保存在这个新文件夹中，如图 5 所示。

下图是我使用从沙盒中找到的新删除文件创建的：

丢弃的文件伪影：

94d6974d73d012eba10bbc266e85c98e08d4ef747afdf6ad235a2d2f9b9b7ed8

f659ad02449513b9fd12aceac62c513752c7689a05b8f177bdd1ebafaeacc371

94d6974d73d012eba10bbc266e85c98e08d4ef747afdf6ad235a2d2f9b9b7ed8（以前未记录的新项目）

IP

18.166.250.135

签名：

• 对 HTTPS 连接使用安全 TLS 版本

• 执行 DNS 查找

• 在内存或二进制数据中找到的 URL

• 检测到潜在的文档漏洞（执行 DNS 查询）

• 检测到潜在的文档漏洞（执行 HTTP 获取）

• 检测到潜在的文档漏洞（未知的 TCP 流量）

• 文档包含具有以陆地为生二进制文件的名称的 OLE 流

40.119.148.38

40.119.148.38

192.229.221.95

域

fp2e7a.wpc.2be4.phicdn.net

fp2e7a.wpc.2be4.phicdn.net

可以从 CloudSEK 找到 Faust 的勒索软件示例 （SHA1 caf2ae5b2b2d86e4cb52e03079c4ef82ed1c57d5）。

新的勒索软件版本似乎是在 Borland Delphi 中编译的。

它禁用并删除 vssadmin 像其他变体一样使用 netsh 来修改网络设置。与上面提到的命令相同：

netsh 防火墙设置 opmode mode=disable

它触发检测到 Nestha 恶意软件。我们再次看到电子表格的域，而对于 Nestha 恶意软件，我们看到的是 api.telegram.org 域。恶意软件的联系 IP 是 192.229.221.95。

与其他 Phobos 和 8base 勒索软件变体一样，它禁用应用程序错误消息 SetErrorMode。

它将 PE 文件拖放到启动文件夹：

C：UsersuserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupfile.exe

此示例中包含加密 [[email protected]].faust 的文件扩展名。

烟雾装载机

对于ldx111.exe，有两个不同的哈希值和不同的 API，以及我们可以在比较中看到的 IOC。这两个哈希值是：

EA6adefdd2BE00D0C7072A9ABE188BA9B0C9A75FA57F13A654CAEAAF4C3F5FBC

bab3c87cac6db1700f0a0babaa31f5cd544961d1b9ec03fd8bcdeff837fc9755

第二个哈希值是联系 URL

hxxp://servermlogs27.xyz/statweb255/

hxxp://moknex158.xyz/777/mtxggzE.exe

hxxp://moknex158.xyz/777/skxMDcB.exe

文件正在与IP 185.234.72.86进行通信。

作为数据混淆，我们可以找到 Dark Tortilla Crypter 和 Costura Assembly Loader。它包含 SystmBC，勒索软件被检测为 SmokeLoader。此外，它还试图窃取 Putty 和 WinSCP 信息/凭据。

可以在哈希的 SmokeLoader 中找到以下域和 IP：

bab3c87cac6db1700f0a0babaa31f5cd544961d1b9ec03fd8bcdeff837fc9755

域

files.catbox.moe

shorturl.at

moknex158.xyz

• 通过 HTTP 从 Web 服务器下载文件

• 使用已知的 Web 浏览器用户代理进行 HTTP 通信

• 对信誉较低的域执行 DNS 查询

• 系统进程连接到网络（可能是由于代码注入或漏洞利用）

www-env.dropbox-dns.com

servermlogs27.xyz 是IP 45.131.66.120

• 发现恶意软件配置

• 执行 DNS 查找

• 将数据发布到 Web 服务器

• 使用已知的 Web 浏览器用户代理进行 HTTP 通信

• 在恶意软件配置中发现的 C2 URL/IP

• 对信誉较低的域执行 DNS 查询

• 系统进程连接到网络（可能是由于代码注入或漏洞利用）

www.dropbox.com

我们看到 SmokeLoader 的扩展名 [[email protected]].8base。

我们在 API comaparison 中也看到的过程 v$WYML[D.exe 是

• 检查内核代码完整性 （NtQuerySystemInformation（CodeIntegrityInformation））

• 将 DLL 或内存区域映射到另一个进程

• 检查当前计算机是否为虚拟机（磁盘枚举）

与 SmokeLoader 相关的主要 IP

• 45.131.66.120

• 185.234.72.86

在启动文件夹中，我们将找到这次

C：UsersuserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupEDE2.exe

执行的勒索软件避开了文件夹

• C：\Windows

• C：\ProgramData\Microsoft\Windows\缓存

勒索软件不是

• 信息.hta

• info.txt

一般调查结果 火卫一

我们还知道什么？让我们添加一些了解火卫一附属结构和活动的文章的一些发现，作者是来自 Talos 的 Guilherme Venere

Ingress 工具传输

• 进程黑客

• Automim 与 Lazagne 和 Mimikatz

• IObit 文件解锁器

• Nirsoft Passwork 恢复工具包

• 网络扫描仪 （NS.exe）

• 愤怒的 IP 扫描仪

• 烟雾装载机

• SystemBC系统

分析中尚未提及的常见 TTP，使用批处理脚本配置 Windows 注册表项

禁用用户帐户控制 （UAC）

REG ADD “HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem” /v EnableLUA /t REG_DWORD /d 0 /f

调用辅助功能

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /f /v Debugger /t REG_SZ /d "%windir%system32cmd.exe"

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMagnify.exe" /f /v Debugger /t REG_SZ /d "%windir%system32cmd.exe"

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsHelpPane.exe" /f /v Debugger /t REG_SZ /d "%windir%system32cmd.exe"

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsutilman.exe" /f /v Debugger /t REG_SZ /d "%windir%system32cmd.exe"

RDP and disabling network-level authentication

REG ADD "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services" /f /v fDenyTSConnections /t REG_DWORD /d "00000000"

REG ADD "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services" /f /v fAllowUnsolicited /t REG_DWORD /d "00000001"

REG ADD "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services" /f /v UserAuthentication /t REG_DWORD /d "00000000"

REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /f /v SecurityLayer /t REG_DWORD /d "00000001"

服务配置更改

sc 配置 Dnscache start= 自动网络启动 Dnscache sc 配置 SSDPSRV 启动 = 自动网络启动 SSDPSRV sc 配置 FDResPub start= 自动网络启动 FDResPub

sc 配置 upnphost start= 自动

网络启动 upnphost

文件共享文件服务 /NoRestart

dism /online /enable-feature /featurename：文件服务 /NoRestart

顶级技术 8Base

在这里，我们看到我的研究中使用的TTP的概述，以及最流行的技术（在Tidal Cyber Enterprise Edition中显示）。

一些威胁搜寻 Sigma 规则

让我们从上面提到的已知 TTP 的威胁搜寻 Sigma 规则开始，我们也看到了其他勒索软件或数据外泄组。我们专注于 Phobos 和 8Base：

AnyDesk在Phobos的CTI报告中提到

Sigma-Rules/rules/windows/dns_query/dns_query_win_network_anydesk.yml...

根据我们的调查生成的规则。通过创建帐户为DFIR-Report/Sigma-Rules的开发做出贡献...

github.com

https://github.com/The-DFIR-Report/Sigma-Rules/blob/d20b806615ad46a6746a925a6c43ffbd4d41ebb2/rules/windows/dns_query/dns_query_win_network_anydesk.yml

PowerShell 中的 Base64 命令字符串，如 VBA 宏所示

sigma/rules/windows/process_creation/proc_creation_win_powershell_frombase64string.yml...

主 Sigma 规则存储库。通过在 GitHub 上创建帐户来为 SigmaHQ/sigma 开发做出贡献。

github.com

https://github.com/SigmaHQ/sigma/blob/60b8e9b70fffaf49b17abfcae4a0ea08f2da7f71/rules/windows/process_creation/proc_creation_win_powershell_frombase64string.yml

sigma/rules/windows/process_creation/proc_creation_win_bcdedit_boot_conf_tamper.yml...

主 Sigma 规则存储库。通过在 GitHub 上创建帐户来为 SigmaHQ/sigma 开发做出贡献。

github.com

https://github.com/SigmaHQ/sigma/blob/60b8e9b70fffaf49b17abfcae4a0ea08f2da7f71/rules/windows/process_creation/proc_creation_win_bcdedit_boot_conf_tamper.yml

使用 wevtutil 清除 Windows 事件日志

sigma/rules/windows/process_creation/proc_creation_win_susp_eventlog_clear.yml 在 master ·...

主 Sigma 规则存储库。通过在 GitHub 上创建帐户来为 SigmaHQ/sigma 开发做出贡献。

github.com

https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_susp_eventlog_clear.yml

协议隧道

sigma/rules/windows/network_connection/net_connection_win_rdp_to_http.yml...

主 Sigma 规则存储库。通过在 GitHub 上创建帐户来为 SigmaHQ/sigma 开发做出贡献。

github.com

https://github.com/SigmaHQ/sigma/blob/e78cb13cfdd5f2308e720e432ccb2e73e39d2d60/rules/windows/network_connection/net_connection_win_rdp_to_http.yml

VIP 检测 防病毒勒索软件检测（包含火卫一）

sigma/rules/category/antivirus/av_ransomware.yml at 60b8e9b70fffaf49b17abfcae4a0ea08f2da7f71 ·...

主 Sigma 规则存储库。通过在 GitHub 上创建帐户来为 SigmaHQ/sigma 开发做出贡献。

github.com

https://github.com/SigmaHQ/sigma/blob/60b8e9b70fffaf49b17abfcae4a0ea08f2da7f71/rules/category/antivirus/av_ransomware.yml

Netsh 防火墙更改

sigma/rules/windows/process_creation/proc_creation_win_netsh_fw_disable.yml...

主 Sigma 规则存储库。通过在 GitHub 上创建帐户来为 SigmaHQ/sigma 开发做出贡献。

github.com

https://github.com/SigmaHQ/sigma/blob/60b8e9b70fffaf49b17abfcae4a0ea08f2da7f71/rules/windows/process_creation/proc_creation_win_netsh_fw_disable.yml

建议在环境中结合以下命令进行 VIP 检测：

vssadmin 删除影子 /all /quiet wmic shadowcopy 删除
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet

exit

隐藏文件可以在 C：UsersVirtualAppDataRoamingMicrosoftWindowsRecentCustomDestinations 和 Temp 文件夹中找到。

结论

8Base 是那些多年来一直在雷达下飞行并且完全被低估的数据勒索组织之一。这些都是经验丰富的开发人员，他们确切地知道自己在做什么并且非常小心。虽然像 Conti 和 LockBit 这样的勒索软件组织随着时间的推移已经摧毁了自己，但 8Base 似乎正在发展，更像是一个由确切知道该怎么做的威胁行为者组成的小圈子。在1月份对瑞士电信公司Nexus Telecom的攻击之后，人们很快就发现，8Base的目标可能不仅仅是小企业。Nexus Telecom为移动行业开发网络监控软件。客户包括欧洲的大型供应商，如英国电信（BT）和德国电信，但也包括海外供应商。该公司最终被瑞士公司Generis收购，该公司总部位于沙夫豪森，也在北京（中国）开展业务。而是一次不寻常的攻击，在我看来，这更像是一项任务，也不符合附属公司的战利品计划。

• 二进制漏洞课程(更新中)

• windows网络安全防火墙与虚拟网卡（更新完成）

• windows文件过滤(更新完成)

• USB过滤(更新完成)

• 游戏安全(更新中)

• ios逆向

• windbg

• 还有很多免费教程(限学员)

• 更多详细内容添加作者微信