黑客利用Exchange漏洞传播\”黑王国\”勒索病毒

安全分析与研究

专注于全球恶意软件的分析与研究

前言

2021年的勒索病毒攻击似乎比2020年来的更猛烈了一些,才刚刚过去三个多月,全球各地的勒索事件就频频爆发,新型的勒索病毒家族也越来越多了,常常收到一些读者朋友或者做安全圈的朋友发过来的勒索病毒样本和勒索求助信息,也许正是由于2020年勒索病毒的巨大利益吸引了更多的黑客组织加入进来,前不久微软发布Microsoft Exchange Server多个紧急安全更新公告,涉及相关7个高危漏洞。发布这些漏洞不久之后,就被黑客组织利用传播新型的勒索病毒,笔者介绍过一款通过Exchange漏洞传播的Dearcry新型勒索病毒,可以参考笔者之前的文章

《黑客利用Exchange漏洞传播新型勒索病毒》

这款Black Kingdom(黑王国)勒索病毒是第二款黑客组织通过Exchange漏洞传播的勒索病毒,笔者就给大家分析研究一下这款勒索病毒。


样本分析

1.样本运行之后,加密后的文件,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

2.生成的勒索提示信息文件decrypt_file.TxT,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

黑客的BTC钱包地址:

1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT,里面被转入了0.173个BTC,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

3.桌面背景被修改,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

4.下面我们来逆向分析一下这款恶意软件,该勒索病毒样本使用python脚本进行编写,解析出里面的py脚本0xfff.py,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

5.生成加密的key,勒索软件会先生成密钥和gen_id,然后将密钥和gen_id上传到mega.io上的帐户。但是,如果勒索软件由于某种原因无法将此随机生成的加密密钥上传到Mega,则其回退形式为硬编码的静态密钥如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

6.生成密钥和gen_id,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

7.暂时SQL服务,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

8.遍历文件并加密文件,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

跳过以下文件目录的文件,列表如下:

BLACLIST = [‘C:\\ProgramData’, ‘C:\\Windows’, ‘C:\\Program Files (x86)’, ‘C:\\Program Files’, ‘\\AppData\\Roaming\\’, ‘\\AppData\\LocalLow\\’, ‘\\AppData\\Local\\’]

9.加密算法,使用AES加密算法,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

10.最后清理日志,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

11.修改桌面背景的代码,如下所示:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

样本使用python脚本编写的比较简单,基本就分析的差不多了,Anyrun上有这个勒索病毒的样本,有兴趣的安全研究人员可以自己去下载研究学习,样本请勿用于非法用途,从这两起勒索病毒攻击事件可以看出黑客的行动非常之快,漏洞发布之后不久,立马就被黑客组织利用,通过漏洞来发起勒索病毒攻击,前不久相关报道Acer也是黑客通过Exchange漏洞传播Sodinokibi(REvil)勒索病毒进行攻击,勒索赎金高达5000万美元,可以预测2021年勒索病毒攻击会变得更加频繁,网络安全威胁事件频频发生,需要各企业提高安全意识,及时修补相关的漏洞,目前大多数勒索病毒都是无法解密的,以防为主。


之前笔者分享过朋友团队开发的一款小工具TeaPot,可以有效监测大规模勒索病毒攻击,受到了大家的关注,微信1群已经加满了,现开放微信2群,可扫码加入,二维码,如下:

黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

如果加不上了,可以找自己的朋友或同事拉进群里,声明:这个工具是朋友团队义务劳动的成果,也是免费提供的,朋友团队的成员工作也比较忙,业余时间也都很少,能力也有限,不到之处请大家多多包涵原谅!


就像笔者曾说的,任何公司,任何团队开发的任何安全产品、平台、工具等都是需要专业的安全人员在实际的安全威胁事件和一些实战攻防演练的过程中不断地改进运营完善,不然基本没啥用,安全是一个持续对抗,不断运营的过程,黑客的攻击手法和攻击方式在不断升级,而且变化非常迅速,安全从业者也要时刻努力提升自己的知识水平和安全能力,平时没事要多多关注一些安全威胁事件,拿里面的漏洞、样本以及最新的攻击技术在测试环境中进行练习实战,不断加强自己的安全研究能力,没有谁能开发一个东西出来就能解决防御所有的安全问题和全球黑客攻击的攻击了。


题外话

笔者运营自己的个人公众号也快两年时间了,写过差不多一百三十多篇的原创文章,公众号的文章曾多次被各大安全公众号和其他安全媒体平台转载,累计起来全网阅读量差不多有几千万以上了,公众号主要包含各种恶意软件(勒索病毒、挖矿病毒、窃密远控后门、APT钓鱼攻击等)威胁事件的分析与研究,以及相关安全技术文章的分享等,同时基于笔者这十几年的安全工作经验,会发表一些笔者对安全的一些理解与看法,也是希望这些文章能给一些刚刚入门的安全从业人员或读者朋友们一点点帮助,具体内容可以查看公众号底部的分类菜单,记得曾经笔者所在公司的一线人员,对客户那里谈生意,客户拿着笔者的公众号咨询,一线人员说这就是我司的安全研究人员的公众号,因为笔者的公众号,客户认可了我司的安全技术实力,其实大多数大客户(头部客户)的安全人员都是懂安全的或者就是安全从业者,想要获得这些大客户(头部客户)的认可,就一定要有过硬的安全能力,光靠忽悠的时代早已经过去了,安全的价值会被越来越多的人所认可,其实在这个时代,想要获得大多数的认可是一件很不容易的事,需要付出太多的时间和精力了,安全的路还很长,笔者会一直坚持不懈的走下去,同时也感谢那些关注笔者公众号的读者们,不管你现在是笔者的客户,还是安全从业者,刚入门,还是工作了很多年的,或者你仅仅是一个对安全感兴趣的朋友,谢谢你们对笔者的认可与支持,只要笔者能挤出时间就一定会坚持给大家带来一些安全相关的文章,与大家一起成长,踏踏实实做好安全,不多说了,最后还是用习大大的两句话来总结:打铁还需自身硬,幸福生活要靠努力奋斗得来。


安全分析与研究


黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

专注于全球恶意软件的分析与研究,跟踪全球最新的黑客组织攻击活动,提供最有价值的威胁情报,欢迎关注


黑客利用Exchange漏洞传播\"黑王国\"勒索病毒

王正


笔名:熊猫正正


恶意软件研究员


长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究


心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!


版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/540.html

(0)
上一篇 2021-03-25 02:21
下一篇 2021-03-25 02:45

相关推荐

发表回复

登录后才能评论