什么是黑猫恶意软件?
BlackCat(又名 ALPHV、Noberus)于 2021 年 11 月首次被检测到,被认为是 2021 年和 2022 年最复杂、最具威胁性的恶意软件之一。然而,BlackCat 的闪电战在 2022 年末达到顶峰,感染记录下降了 28%。
BlackCat 是首个使用 Rust 编程语言编写的著名恶意软件,这种新语言因其高性能和内存安全而越来越受欢迎。BlackCat 还拥有另一项能力:它可以入侵基于 Windows 和 Linux 的操作系统。
黑猫 "是由一个讲俄语的网络犯罪组织 ALPHV 以 "勒索软件即服务"(RaaS)的形式运营的。其活动通常采用三重勒索策略:分别要求解密受感染文件、不公布被盗数据和不发起拒绝服务(DoS)攻击。BlackCat 在 2021 年 11 月至 2022 年 9 月间入侵了约 200 家企业组织,最常攻击的目标是金融、制造、法律和专业服务行业的公司,但 BlackCat 的漏洞跨越了所有行业。
在源代码和用户方面,BlackCat 与勒索软件变种 BlackMatter 和 DarkSide 相关。BlackCat 操作员在私人论坛(如暗网论坛 XSS、Exploit Forum 和 RAMP5)上向潜在的联盟成员宣传该勒索软件,并在这些论坛上寻找新的网络罪犯加入他们的行列。
最新黑猫新闻
- ALPHV 勒索软件团伙声称攻击佛罗里达巡回法院(Bleeping Computer)
- Motel One 在遭受勒索软件攻击后披露数据泄露事件(Bleeping Computer)
- 导致美高梅在线娱乐官网公司瘫痪的勒索软件攻击内幕(福布斯)
- 6 大网络威胁行动者:当今最活跃的团体(BlackBerry 博客)
BlackCat 攻击的第一阶段依赖于网络钓鱼、暴力破解和非法购买的凭据(通常用于远程桌面协议 (RDP) 连接和虚拟专用网络 (VPN) 服务),以及作为 CVE 发布的漏洞(如 CVE-2019-7481)。
BlackCat 攻击的第二阶段通常是通过建立反向 SSH 通道连接到 BlackCat 控制的指挥控制 (C2) 基础设施。从这里开始,攻击完全由命令行驱动、人工操作且高度可配置。BlackCat 感染后的主要指令是在受害者网络内横向移动,使用 PsExec 攻击 Active Directory 用户和管理员账户,并渗出和加密敏感文件。
BlackCat 的主要有效载荷是首个以 "Rust "编程语言编写的已知恶意软件,可感染基于 Windows 和 Linux 的系统。BlackCat 对所有版本的 Windows 都有效,包括 XP 及以后的版本(包括 Windows 11)、2008 年以来的 Windows Server 版本、Debian 和 Ubuntu Linux、ESXI 虚拟化管理程序以及 ReadyNAS 和 Synology 网络附加存储产品。
黑猫使用的第二阶段技术
- 停止 ESXi 虚拟机并删除任何备份 ESX 快照
- 使用 PowerShell 禁用 Windows Defender 或更改其安全设置以禁用某些功能
- 使用 PsExec 攻击 Active Directory 用户和管理员账户
- 安装渗透测试工具 CobaltStrike,并利用它横向移动到同一网络上的其他系统
- 通过检测恶意软件分析工具(如虚拟机管理程序)来防止其源代码,并停止其进程
- 使用一款名为 Fendr(又名 ExMatter)的软件工具来外泄.PDF、.DOC、.DOCX、.XLS、.TXT、.BMP、.RDP、.SQL 和.ZIP文件以及其他文件类型
- 目标文件加密时删除 Windows 阴影副本备份
- 通过更改二进制内容和签名来规避恶意软件检测产品
BlackCat 还在 JSON 配置文件中定义了高度模块化的加密方案,允许为每个活动使用唯一的密钥,并具有用于快速文件加密的多线程进程和多通道 AES-128 加密,以阻止任何解密尝试。BlackCat 还采用间歇加密(或部分加密)来提高加密效率。BlackCat 有多种可配置的加密模式,允许通过指定要加密的字节数、要加密的文件百分比或使用 "智能模式 "技术对文件进行部分加密--使用从文件开始偏移的模数对单个字节进行加密。加密模块还包括 "自动 "设置,可根据每个文件的扩展名选择加密模式,使 BlackCat 能根据文件内容最有效地赎回文件。
黑猫袭击的迹象
BlackCat 攻击的已知破坏指标 (IOC) 包括文件哈希签名、指挥和控制 (C2) IP 地址以及 FBI 和其他恶意软件分析报告发布的域。尽管如此,这些指标可能无助于对付使用其他配置编译的新版 BlackCat。
有助于区分黑猫攻击的特征包括
- 为每个加密文件添加随机扩展名,每个活动的扩展名都是唯一的
- 使用独特的赎金条格式,使 BlackCat 有别于其他勒索软件
- 赎金说明包括一个指向独特 TOR 网站的链接,该网站可显示外泄和赎回数据的证据
- Creating a file called “RECOVER-<random>-NOTES.txt” in each directory that contains ransomed files
如何防止黑猫袭击
防范 BlackCat 需要强大的企业网络安全计划,包括可检测和阻止新型技术的端点安全。以下是减轻 BlackCat 攻击的防御策略:
- 确保 Office 应用程序配置了 "在没有通知的情况下禁用所有宏 " 或"禁用除数字签名宏以外的所有宏 " 设置
- 要求所有远程访问服务使用高强度密码和多因素身份验证 (MFA),并确保更改所有默认密码
- 考虑开展用户意识培训,让员工了解网络钓鱼技术,并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。
- 配置电子邮件客户端,以便在电子邮件来自组织外部时通知用户
- 确保在整个 IT 环境中应用更新和安全补丁,包括安全产品、操作系统和应用程序
- 监控网络活动中的暴力尝试,并对关键服务的验证尝试进行速率限制
- 实施强大的网络安全,包括最小权限、关键服务分段、基于角色的访问控制、多因素身份验证和深度防御,以减少凭证被盗可能造成的损失
- 配置 Windows 注册表,要求用户账户 (UAC) 限制对 PsExec 的访问,防止其被用于横向移动
- 制定并维护强大的备份策略,确保抵御勒索软件攻击的能力
- 为网络服务器和应用程序接口配置安全模块,以优化其在流量激增和 DDOS 攻击时的性能,或向互联网服务提供商 (ISP)、内容分发网络 (CDN) 或网络应用防火墙 (WAF) 提供商购买 DDOS 缓解服务
