新勒索软件团伙 Dark Power 浮出水面 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

基础安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

新勒索软件团伙 Dark Power 浮出水面

Avenger 2023-04-06 15:14:42 192895

所属地北京

忽然间 Dark Power 浮出水面，并且试图快速成为业内有话语权的犯罪团伙。本文讨论了 Dark Power 勒索软件的细节，包括攻击者披露的相关被窃数据与受害者信息。根据分析人员的观察，该团伙并不针对特定部门或者地区进行攻击。

样本文件

image.png-54.8kB 勒索软件样本文件

Nim 是一种晦涩难懂的编程语言，攻击者越来越多地将其应用于开发恶意软件中，看中了它开发方便且原生跨平台的能力。

加密密钥初始化

勒索软件 Dark Power 会创建一个随机的 64 字符长的小写 ASCII 字符，主要用于初始化加密算法。如下所示，随机确保了每次执行样本文件时密钥都是唯一的，防止开发通用解密工具。Nimcrypto 库被用于进行加密，算法使用的是 AES CRT。

image.png-36.4kB 初始化字符串

字符串加密

勒索软件 Dark Power 中的各种字符串都是加密的，以阻碍创建通用的检测规则。密文以 base64 编码的形式存在于二进制文件中，解码后使用固定的密钥进行解密。解密密钥为硬编码字符串的 SHA256 哈希值，加密算法所需的 IV 向量也被嵌入样本文件中，但会根据需要进行调用。

image.png-622.4kB 解密反汇编代码

上述的反汇编代码用于解密字符串，输出为 .darkpower。将 IV 向量加载至 RDX 中，并且将存储 base64 编码与加密后的字符串加载至 RAX 中，最后调用 decrypt_AES_CTR 函数进行解密。解密后的字符串如下所示：

image.png-647.5kB 解密后的字符串

终止服务

勒索软件 Dark Power 会终止失陷主机上特定服务，例如 veeam、memtas、sql、mssql、backup、vss、sophos、svc$ 与 mepocs。这些服务占用的文件也都被释放并且加密，勒索软件可以更进一步达成更大的影响。当然，卷影副本服务（VSS）也没被落下。

此外，各种数据备份与反恶意软件服务也会被终止。如果勒索软件检测到任何与预定义列表匹配的服务或进程，就会将其终止，如下所示：

image.png-101kB 终止 VSS 服务

进程终止

与服务类似，影响文件加密的进程也会被终止。勒索软件使用 WMI 命令获取 winmgmts: & {impersonationLevel=impersonate}!.\root\cimv2有关所有正在运行的进程列表，目标进程将全部终止。

预置列表中，不仅有任务管理器、浏览器以及 Office 相关程序，也有数据库程序。完整列表如下所示：

image.png-60.2kB 终止进程列表

排除加密

一旦所有目标服务与进程都被终止，勒索软件会针对文件利用文件名、扩展名与文件夹名进行过滤。对系统正常运行至关重要的文件与文件夹会被排除在外，完整列表如下所示：

image.png-48.9kB 排除的扩展名

image.png-19.2kB 排除的文件

image.png-37.3kB 排除的文件夹

清除日志

终止所有服务后，勒索软件在休眠 30 秒后通过执行 C:\Windows\system32\cmd.exe /c cls来清理控制台痕迹。并且，还会使用 WMI 命令 Select * from Win32_NTEventLogFile与 ClearEventLog()来清理系统日志。清除日志是勒索软件用于掩盖踪迹并阻碍分析人员调查的常用手段，后续就会开始加密行为。

image.png-599.5kB 清除控制台痕迹

勒索信息

每个文件夹中都会放置勒索信息，与常见的纯文本勒索信息不同，Dark Power 选择使用 PDF 文件作为勒索信息。该文件通过 Adobe Illustrator 26.0 创建，最后修改日期为 2023 年 2 月 9 日。

image.png-2466.6kB 勒索信息

攻击者勒索一万美元的门罗币，并且要求受害者使用 Tor 与 qTox 与其进行通信。攻击者会告知受害者已经有哪些其他的组织也已经被攻陷，但公司的徽标经过模糊处理。

image.png-1002.9kB 网页截图

数据加密

文件使用 CRT 模式的 AES 算法进行加密，加密文件路径会在标准输出中打印，如下所示。

image.png-778.5kB 加密文件路径

勒索软件有两个版本，每个版本都有不同的加密密钥与格式：

在第一个变种中，生成的随机密钥的 SHA-256 被分为两部分。前半部分作为 AES 密钥，后半部分作为 IV 向量。
在第二个变种中，生成的随机密钥的 SHA-256 作为 AES 密钥，IV 向量则是固定的 73 4B D9 D6 BA D5 12 A0 72 7F D6 4C 1E F4 96 87

文件被加密后会重命名为 .dark_power扩展名。

威胁情报

Dark Power 勒索软件团伙也是使用双重勒索的团伙之一，发现的勒索软件样本本身并不会上传任何文件，可能是通过其他组件在勒索软件部署前就完成了上传。

Dark Power 勒索软件团伙在全球范围内活动，阿尔及利亚、捷克、埃及、法国、以色列、秘鲁、土耳其与美国都存在受害者。根据其网站披露的信息，受害者的行业分布排名为教育、IT、医疗保健、制造业与食品生产。

结论

恶意软件开发者使用各种编程语言（如 Nim、Golang 或者 Rust）都不稀奇，防御者维持安全的成本显著高于学习一门新的语言。

IOC

33c5b4c9a6c24729bb10165e34ae1cd2315cfce5763e65167bd58a57fde9a38911ddebd9b22a3a21be11908feda0ea1e1aa97bc67b2dfefe766fcea467367394

参考来源

Trellix

# 勒索软件 # Nim语言

本文为 Avenger 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多

相关推荐

中国也是受害者，回顾 AvosLocker 勒索软件原创

基础安全

AvosLocker 是一个复杂的双重勒索、勒索软件即服务（RaaS）组织，在 2023 年 5 月之前一直活跃并进行双重勒索攻击。

Avenger

206692围观 · 3收藏 2023-11-01

美国等40国联盟将签署承诺，拒绝向黑客支付赎金

资讯

在过去两年间，包括黑山、智利和百慕大在内的多个国家政府在关键基础设施和政府实体遭受勒索软件攻击后受到严重影响。

小薯条

145379围观 2023-11-01

勒索软件情报 | qBit RaaS以 Windows、Linux 系统为目标

资讯

这是一种用 Go 编程语言编写的创新型、高适应性恶意软件。

Zhuolin

81579围观 · 1收藏 2023-10-25

BlackCat再升级！可用全新Munchkin工具进行隐形攻击

资讯

此工具还可以让 BlackCat 实现远程系统运行、加密远程服务器消息块 (SMB) 或通用互联网文件 (CIFS) 网络共享。

小薯条

97166围观 · 3收藏 · 8喜欢 2023-10-20

揭开勒索软件LostTrust的神秘面纱原创

数据安全

LostTrust勒索软件于2023年3月开始积极活动，并攻击了多个企业和组织，但直到9月份才被广大研究人员所知晓。

FreddyLu666

120003围观 · 2收藏 · 16喜欢 2023-10-17

Avenger LV.7

这家伙太懒了，还未填写个人描述！

532 文章数
178 关注者

利用 CVE-2024-21412 进行窃密的攻击激增

2024-07-28

滥用云服务进行传播的恶意软件越来越多

2024-07-03

详解 RisePro 信息窃密木马

2024-07-03

文章目录