除了加密勒索，完整源碼泄露的Babuk勒索還有哪些

分析發(fā)現，Babuk勒索軟件除了會(huì )跟其他勒索家族一樣加密文件外，還會(huì )竊取被攻擊目標的數據，以威脅受害者支付贖金。

背景介紹

近期Babuk的完整源代碼被泄露，據泄露源代碼的黑客自稱(chēng)是想要改過(guò)自新，但是這一公開(kāi)源代碼的舉動(dòng)反而拉低了其他潛在犯罪團伙制作勒索軟件的成本，后續是否會(huì )因此涌現更多的勒索軟件不得而知。

Babuk勒索最早曝光于2021年初，讓他們“一躍成名”的是在今年的4月份了華盛頓大都會(huì )警察局，威脅不提交贖金將公開(kāi)警方線(xiàn)人和其他敏感數據，并持續瞄準FBI、CSA等部門(mén)。但他們也并不是只針對執法機構，此前已攻擊了多家大型企業(yè)和組織，如包括西班牙連鎖手機零售商PhoneHouse和NBA休斯頓火箭隊，一度成為2021年最活躍的勒索家族之一。

圖源于網(wǎng)絡(luò )：Babuk公開(kāi)的華盛頓大都會(huì )警察局被竊取的數據文件

Babuk勒索軟件特點(diǎn)

深信服終端安全團隊長(cháng)期跟蹤全球范圍內的高級威脅，在海外攻擊場(chǎng)景中捕獲最新的Babuk勒索樣本，在對該勒索軟件進(jìn)一步分析后，發(fā)現Babuk勒索軟件除了會(huì )跟其他勒索家族一樣加密文件外，還會(huì )竊取被攻擊目標的數據，以威脅受害者支付贖金。

相比于其他勒索團伙，Babuk的使用了更加多樣的攻擊手法，包括：

• 利用APT攻擊中常見(jiàn)的“白加黑”手段繞過(guò)靜態(tài)檢測;
• 使用自動(dòng)化安裝腳本批量投放，替代手動(dòng)投放執行勒索;
• 運維不同平臺的勒索病毒代碼，具有針對Linux系統的勒索功能。

同時(shí)，該團伙的攻擊過(guò)程非常有耐心，潛伏時(shí)間相當長(cháng)，可能達到兩個(gè)月以上，因此在實(shí)施最后的攻擊后往往會(huì )對受害者造成相當大的影響，目前深信服終端檢測平臺EDR已支持該勒索病毒的防護查殺。

入侵手法：C2連接工具

C2連接工具由三個(gè)文件構成：

其中GoogleUpdate.exe是帶有Google數字簽名的可執行程序，GoogleUpdate運行過(guò)程會(huì )加載goopdate.dll文件;

而goopdate.dll則是被劫持的shellcode加載器，讀取thumb.db中的shellcode并解碼運行;

安全專(zhuān)家對通過(guò)調試發(fā)現C2服務(wù)器地址為 103.79.77.242/Inform/registration/Q0FNEMDCNR9 ，但該地址目前已無(wú)法連接。

GoogleUpdate.exe+goopdate.dll屬于利用白文件加載惡意程序以躲避殺毒軟件檢測的操作，可以從網(wǎng)上搜索到諸多案例。(注：海蓮花APT也用過(guò)同樣的手法)

勒索批量安裝腳本

安全專(zhuān)家還發(fā)現一組勒索軟件批量安裝腳本，有下面三個(gè)文件：

e.txt中儲存的是被勒索的主機IP地址

e.bat調用了e.vbs實(shí)現批量遠程執行命令：

e.vbs的功能列表如下：

e.vbs的腳本內容比較簡(jiǎn)單，首先使用net use 連接目標主機;

然后遠程執行命令;

值得注意的是，該腳本還會(huì )將受害主機中的 C:/Windows/Temp 目錄共享出去，方便傳輸文件等操作。

樣本分析

Windows:

程序首先執行勒索加密前準備，包括：

• 停止相關(guān)服務(wù)
• 結束相關(guān)進(jìn)程
• 刪除卷影副本
• 清空回收站

Babuk勒索軟件首先停止如下服務(wù)以保障加密順利進(jìn)行：

vss、sql、svc$、memtas、mepocs、sophos、veeam、backup、GxVss、GxBlr、GxFWD、GxCVD、GxCIMgr、DefWatch、ccEvtMgr、ccSetMgr、SavRoam、RTVscan、QBFCService、QBIDPService、Intuit、QuickBooks、FCS、QBCFMonitorService、YooBackup、YooIT、zhudongfangyu、sophos、stc_raw_agent、VSNAPVSS、VeeamTransportSvc、VeeamDeploymentService、VeeamNFSSvc、veeam、PDVFSService、BackupExecVSSProvider、BackupExecAgentAccelerator、BackupExecAgentBrowser、BackupExecDiveciMediaService、BackupExecJobEngine、BackupExecManagementService、BackupExecRPCService、AcrSch2Svc、AcronisAgent、CASAD2DWebSvc、CAARCUpdateSvc

結束如下進(jìn)程，避免數據文件被占用而無(wú)法加密：

sql.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefox.exe、tbirdconfig.exe、mydesktopqos.exe、ocomm.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、notepad.exe

刪除卷影副本：

獲取系統信息，然后根據處理器數量創(chuàng )建對應數量的加密線(xiàn)程：

跳過(guò)如下文件及文件夾：

AppData、Boot、Windows、Windows.old、Tor Browser、Internet Explorer、Google、Opera、Opera Software、Mozilla、Mozilla Firefox、$Recycle.Bin、ProgramData、All Users、autorun.inf、boot.ini、bootfont.bin、bootsect.bak、bootmgr、bootmgr.efi、bootmg**.efi、desktop.ini、iconcache.db、ntldr、ntuser.dat、ntuser.dat.log、ntuser.ini、thumbs.db、Program Files、Program Files (x86)、#recycle、..、.

跳過(guò)".exe"、".dll"、".babyk"后綴的文件：

將文件加上“.babyk”后綴后對其進(jìn)行加密，加密算法采用了ECDH+HC-128：

為了避免文件因被進(jìn)程占用而無(wú)法加密，除了結束特定進(jìn)程及服務(wù)外，Babuk還使用了Windows Restart Manager。Windows Restart Manager允許除關(guān)鍵系統服務(wù)外的所有程序或服務(wù)關(guān)閉和重啟，從而可以減少或避免程序安裝或者更新過(guò)程中需要重啟的次數，Babuk利用其使文件可以被順利加密。

寫(xiě)入勒索信息：

Linux：

Linux版需要需要加上參數指定加密路徑，加密結束后會(huì )輸出不加密的文件、加密的文件、跳過(guò)的文件以及所有文件的數量和加密文件的數據量：

對".log"、".vmdk"、".vmem"、".vswp"、".vmsn"后綴文件進(jìn)行加密：

加密文件后加上".babyk"后綴，加密算法為ECDH+Sosemanuk：

勒索信息與windows版相同：

日常加固

• 日常生活工作中的重要的數據文件資料設置相應的訪(fǎng)問(wèn)權限，關(guān)閉不必要的文件共享功能并且定期進(jìn)行非本地備份;
• 使用高強度的主機密碼，并避免多臺設備使用相同密碼，不要對外網(wǎng)直接映射3389等端口，防止暴力破解;
• 避免打開(kāi)來(lái)歷不明的郵件、鏈接和網(wǎng)址附件等，盡量不要在非官方渠道下載非正版的應用軟件，發(fā)現文件類(lèi)型與圖標不相符時(shí)應先使用安全軟件對文件進(jìn)行查殺;
• 定期檢測系統漏洞并且及時(shí)進(jìn)行補丁修復。

原文地址：https://www.freebuf.com/articles/system/289331.html