BlackByte是一个发现于2021年中后期的勒索软件即服务(RaaS)组织,据信是臭名昭著的Conti勒索软件组织的一个分支。其间谍技术包括使用易受攻击的驱动程序来绕过安全控制,部署具有蠕虫功能的自我传播勒索软件,以及使用已知的合法系统二进制文件(lolbin)和其他商业工具作为其攻击链的一部分。
随着时间的推移,BlackByte重新设计了其勒索软件二进制文件,用Go、.net、c++或这些语言的组合编写了新版本。该组织不断改进其工具、操作甚至数据泄露站点的努力是有据可查的。
在对最近的BlackByte攻击进行调查期间,思科Talos事件响应(Talos IR)团队注意到,调查发现的入侵指标(IoC)与Talos全球遥测中标记的其他事件之间存在密切的相似之处。对这些相似性的进一步调查提供了对BlackByte当前间谍技术的更多见解,并揭示了该组织的实际受害者规模要比其数据泄露网站上公布的多得多。
技术细节
初始访问
在调查最近的BlackByte勒索软件攻击事件时,Talos IR发现威胁行为者使用有效凭据获得了访问受害者组织VPN的初始访问权限。只是,由于勒索加密导致遥测和证据丢失,阻碍了Talos IR确定凭据是通过暴力破解VPN接口获得的,还是在攻击之前就已被对手获悉。然而,根据以下观察,Talos IR有信心认为“通过互联网扫描进行的暴力验证是初始访问向量”:
- 被攻击者入侵的初始账户有一个基本的命名约定,据报道,还有一个弱密码。
- 如果目标帐户具有特定的Active Directory配置,则VPN接口可能允许域帐户进行身份验证而无需多因素身份验证(MFA)。
- BlackByte具有扫描和利用面向公众的漏洞的前科,例如Microsoft Exchange服务器中的ProxyShell漏洞。
鉴于BlackByte具有利用面向公众的漏洞进行初始访问的前科,使用VPN进行远程访问可能代表其技术上的轻微转变或可能代表“机会主义”。此外,使用受害者的VPN进行远程访问还为攻击者提供了其他优势,包括降低来自组织EDR的可见性。
侦察和枚举
在获得对环境的初始访问权限后,攻击者会通过破坏两个域管理员级别的帐户来升级权限。其中一个帐户用于访问组织的VMware vCenter服务器,并在随后为单个VMware ESXi管理程序创建Active Directory域对象,有效地将这些主机加入域。然后使用同一个帐户创建其他几个帐户并将其添加到名为“ESX Admins”的Active Directory组。Talos IR评估该用户组是为了利用CVE-2024-37085而创建的,CVE-2024-37085是VMware ESXi中的一个身份验证绕过漏洞,已知被多个勒索软件团伙所滥用。成功利用此漏洞将授予特定Active Directory组成员在ESXi主机上的提升权限,从而允许攻击者控制虚拟机(VM)、修改主机服务器配置以及访问系统日志、诊断和性能监控工具。
Talos IR观察到该漏洞在最初发布几天内便被攻击者利用。这凸显了像BlackByte这样的勒索软件组织可以迅速调整他们的TTP,以纳入新披露的漏洞,以及在识别推进攻击的潜在途径上投入的时间和精力。
威胁行为者使用SMB和远程桌面协议(RDP)等协议访问每个受害者环境中的其他系统、目录和文件。对系统事件和身份验证日志的分析揭示了一种一致的模式,即威胁行为者主要利用NT LAN Manager(NTLM)进行身份验证,而组织用户主要使用Kerberos。这种早期的NTLM活动可以反映身份验证攻击,例如传递哈希进行横向移动。后来对勒索软件二进制文件的动态分析也揭示了该文件一致地使用NTLM进行身份验证。
Talos IR还观察到在一个文件服务器上的“C:\temp\sys\”目录下执行一个名为“atieclxx.exe”的文件。合法版本的“atieclxx.exe”通常可以在“C:\Windows\System32”目录中找到,该目录支持与AMD显卡相关的系统进程。然而,在一次BlackByte攻击的调查中,“atieclxx.exe”是在“C:\temp\sys”目录下用命令“atieclxx.exe P@$$w0rd123!!”执行的。众所周知,BlackByte行为者在设置帐户密码和作为自定义工具的输入参数时喜欢使用字符串“P@$$w0rd”,因此这种语法可能表明他们试图将恶意软件(例如他们的自定义数据泄露工具ExByte)伪装成已知或合法文件。不过,Talos IR暂未获得用于分析的文件副本。
最后,通过修改系统注册表,手动从多个关键系统卸载EDR,以及在一次调查中更改组织ESXi主机的根密码,威胁行为者可以篡改安全工具配置。在文件加密的第一个迹象出现之前,在环境中的数十个系统之间观察到NTLM身份验证和SMB连接尝试数量增加。这种活动后来被理解为勒索软件“自我传播”机制的特征。
数据渗漏
在Talos IR调查过程中,可用遥测技术的限制以及勒索软件加密过程的影响,阻碍了对数据渗漏方法的高可信度评估,甚至无法确定是否发生了渗漏。如前几节所述,存在使用BlackByte自定义数据泄露工具ExByte的迹象,但无法确认。
勒索软件执行
与先前报告的相似之处
在最近的案例中,BlackByte勒索软件二进制文件“host.exe”在Talos IR调查的所有受害者中从同一目录“C:\Windows”执行。攻击者在每次攻击期间使用的命令语法——`C:\Windows\host.exe -s [8-digit numeric string] svc`——以及勒索软件二进制文件的行为与微软、DuskRise、Acronis和其他公司之前对BlackByteNT二进制文件的分析一致。研究观察到的共性包括以下几点:
- 如果没有正确的8位数字字符串传递给“-s”参数,勒索软件二进制文件将无法执行。这个8位数的字符串是受害者的命令语法中唯一不同的部分。在一次攻击中,攻击者依次使用了两个不同的加密器,每个加密器都有自己的“-s”参数值,尽管目前尚不清楚为什么使用多个加密器。
- “svc”参数会导致勒索软件将自身作为服务安装,这似乎会将受感染的系统转换为附加的传播程序,作为勒索软件蠕虫行为的一部分。在创建勒索软件服务后,对可访问的主机观察到后续的SMB和NTLM身份验证,导致在初始事件发生数小时后出现多波加密。
- 勒索软件二进制文件主要在“C:\SystemData”目录下创建和运行。在所有BlackByte受害者的这个目录中创建了多个常见文件,包括一个名为“log”的文本文件,它似乎是一个进程跟踪日志,其中执行里程碑记录为逗号分隔的“q”,“w”和“b”值,如下图所示。
【图1:执行过程中的MsExchangeLog1.log内容】
- 执行成功后,勒索软件二进制文件执行命令`/c ping 1.1.1[.]1 -n 10 > Nul & fsutil file setZeroData offset=0 length=503808 c:\windows\host.exe & Del c:\windows\host.exe /F /Q`,延迟一段时间后,将文件内容归零并删除自身。自2022年以来,已在各种BlackByte工具中观察到这种通用命令结构。
创新性观察结果
Talos在最近的BlackByte攻击中观察到了一些不同。最值得注意的是,所有受害者的加密文件都被重写为文件扩展名为“blackbytent_h”,该扩展名尚未在公开报道中出现。
这个新版本的加密器还加载了四个易受攻击的驱动程序,作为BlackByte惯用的BYOVD技术的一部分,这比之前报告中描述的两个或三个驱动程序有所增加。在Talos IR调查的所有BlackByte攻击中,这四个驱动程序都是由加密器二进制文件加载的,每个驱动程序都有类似的命名约定——八个随机字母数字字符,后跟一个下划线和一个迭代数字值。以“AM35W2PH”为例,易受攻击的驱动程序出现的顺序如下所示:
- “AM35W2PH”- RtCore64,最初由MSI Afterburner系统超频实用程序使用的驱动程序。
- “AM35W2PH_1”- DBUtil_2_3.sys,该驱动程序是戴尔客户端固件更新实用程序的一部分。
- “AM35W2PH_2”- zamguard64.sys,该驱动程序是Zemana反恶意软件(ZAM)应用程序的一部分。
- “AM35W2PH_3”- gdrv.sys,该驱动程序是用于GIGABYTE主板的GIGABYTE Tools软件包的一部分。
“zamguard64.sys”文件(也被称为“Terminator,”)的加入尤为有趣,一方面是其他安全研究人员最近报告了它的流行趋势,另一方面是勒索软件二进制文件在执行过程中创建了两个与该文件相关的服务相关注册表项,稍后又在执行过程中删除了它们。使用上面相同的虚构字符串,这些注册表项将表现为如下形式:
- HKLM\SYSTEM\CONTROLSET001\SERVICES\AM35W2PH_2
- HKLM\SYSTEM\CONTROLSET001\SERVICES\AM35W2PH_2\SECURITY
在对多个BlackByte勒索软件二进制文件进行动态分析期间,Talos发现该文件试图使用与受害者相关的特定用户帐户,通过“SRVSVC”命名管道的NetShareEnumAll函数进行网络共享枚举。由于此分析是在受控的沙盒环境中进行的,因此这些帐户只有在被内置到勒索软件二进制文件本身中时才会出现在网络流量中。这一发现让Talos高度自信地认为,BlackByte的勒索软件加密器之所以具有高度针对性,是因为将某种形式的被盗凭据打包到了二进制文件中以支持其蠕虫能力。
【图2:在隔离的沙箱环境中执行勒索软件时观察到的受害者凭据】
在动态分析此版本的勒索软件二进制文件期间观察到的其他有趣行为包括:
- 在执行过程的早期,通过IP地址79.197[.]219与msdl.microsoft[.]com通信。该网站与微软公共符号服务器相关联。BlackByte工具一直被观察到直接从微软下载和保存调试符号。
- 通过HKLM\SOFTWARE\MICROSOFT\WINDOWS DEFENDER注册表项禁用防病毒和反间谍软件保护,并在HKLM\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\EXTENSIONS注册表项中添加值“*.exe”。
- 删除“C:\Windows\System32”目录下的系统二进制文件,包括“exe”、“perfmon.exe”、“shutdown.exe”和“resmon.exe”。
BYOVD应用和BlackByte受害者分布
Talos以本次分析中发现的易受攻击的驱动程序为重点,根据端点遥测的结果推断出不同垂直行业中BYOVD暴露的战略图景。研究结果强调,专业、科学和技术服务部门是受到BYOVD影响最大的行业,占总数的15%(见下图)。对风险的分析表明,某些行业比其他行业面临更大的风险,例如那些更有可能存储和/或处理关键或敏感数据的行业。
【图3:不同垂直行业中的BYOVD暴露情况】
针对BlackByte受害者的分析与这一评估结果一致,超过32%的已知受害者属于制造业垂直行业。
【图4:受到BlackByte影响的行业分布】
数据显示,过去大半年间BlackByte数据泄露网站上公布的受害者人数,与遥测发现的受害者人数间存在很大差异。目前尚不清楚为什么BlackByte的受害者中只有一小部分(估计有20%到30%)最终被公布出来。
对防御者的启示
在BlackByte最新版本的加密器BlackByteNT中,这种从c#到Go,再到C/ c++的编程语言的进步代表了一种深思熟虑的努力,旨在增加恶意软件对检测和分析的弹性。像C/ c++这样的复杂语言允许结合先进的反分析和反调试技术,其他安全研究人员在详细分析BlackByte工具时已经观察到这一点。
BlackByte加密器的自我传播特性给防御者带来了额外的挑战。BYOVD技术的使用使这些挑战进一步复杂化,因为它可能会限制在遏制和根除工作期间安全控制的有效性。但是,由于当前版本的加密器似乎依赖于从受害环境窃取的内置凭据,因此企业范围的用户凭据和Kerberos票证重置对于遏制应该是非常有效的。在执行过程中检查来自加密器的SMB流量还将揭示用于在网络中传播感染的特定帐户。
从更广泛的角度来看,该勒索软件间谍技术表明,总体RaaS模型的固有灵活性允许威胁行为者通过迭代和更新其工具来快速对抗网络安全专家开发的新型防御策略。这在网络罪犯和防御者之间造成了一场持续的军备竞赛。随着BlackByte和其他勒索软件组织的不断发展,组织将需要投资于自适应的、有弹性的安全控制,并建立能够跟上动态、多样化威胁形势的措施。
安全建议
- 为所有远程访问和云连接实现MFA。优先考虑“验证推送”作为MFA方法,而不是SMS或电话等不太安全的选项。
- 审计VPN配置。确认旧的VPN策略已被删除,并且默认情况下拒绝不匹配当前VPN策略的身份验证尝试。限制VPN只访问必要的网段和服务,限制像域控制器这样的关键资产的暴露。
- 为特权组中的任何变化设置警报,例如创建新用户组或向域管理员添加帐户。确保只在必要时才授予管理权限,并在此之后进行例行审计。特权访问管理(PAM)解决方案可用于简化对特权帐户的控制和监视。
- 尽可能限制或禁用NTLM的使用,并强制使用更安全的身份验证方法,如Kerberos。限制面向公共和内部接口上的身份验证尝试和失败的速率,以防止自动身份验证扫描。
- 禁用SMBv1并强制SMB签名和加密,以防止横向移动和恶意软件传播。
- 将EDR客户端部署到整个环境中的所有系统。在EDR客户端上配置管理员密码,防止EDR客户端被非法篡改或移除。
- 在不常使用时禁用供应商帐户和远程访问功能。
- 对环境中各种系统上可能发生的未经授权的配置更改进行检测,包括对Windows Defender策略的更改,对组策略对象的未经授权的更改,以及创建异常的计划任务和已安装的服务。
- 制定并记录企业密码重置程序,以确保所有用户凭据都能快速完整地重置。
- 对ESX主机进行加固和修补,尽可能减少这些关键服务器的攻击面,并确保新发现的漏洞尽快得到纠正。
原文链接: