BlackCat勒索病毒样本分析

相关阅读：BlackCat勒索病毒家族详情


     BlackCat，又名ALPHV，是一个新出现的勒索病毒家族，最早在2021年11月中旬被发现并公开。该家族勒索病毒使用RUST语言进行编译，通过命令行参数可以指定和开关相应的功能。命令行选项如下图：

从上图的功能选项可以看出，该病毒PE模块可以同时针对Windows和ESXi平台，并且具有擦除Vm快照和停止虚拟机的能力。
加密模块中的部分字符串可以看到其rust脚本的路径名。

病毒中携带的加密配置数据：

Blackcat执行过程中，通过启动cmd.exe执行了一些命令行：

（1）        使用fsutil启用本地的符号链接类型：R2L（远程到本地）、R2R（远程到远程）；
（2）        将机器最大并发网络请求设置为65535；
（3）        枚举并删除所有系统日志；
（4）        停止所有 Internet 服务；
（5）        删除所有卷影；
（6）        关闭开机恢复。

终止指定进程和服务
和其他勒索病毒一样，获取进程快照枚举进程并终止以下进程：

agntsvc、dbeng50、dbsnmp、encsvc、excel、firefox、infopath、isqlplussvc、msaccess、mspub、mydesktopqos、mydesktopservice、notepad、ocautoupds、ocomm、ocssd、onenote、oracle、outlook、powerpnt、sqbcoreservice、sql、steam、synctime、tbirdconfig、thebat、thunderbird、visio、winword、wordpad、xfssvccon、*sql*、bedbh、vxmon、benetns、bengien、pvlsvr、beserver、raw_agent_svc、vsnapvss、CagService、QBIDPService、QBDBMgrN、QBCFMonitorService、SAP、TeamViewer_Service、TeamViewer、tv_w32、tv_x64、CVMountd、cvd、cvfwd、CVODS、saphostexec、saposcol、sapstartsrv、avagent、avscc、DellSystemDetect、EnterpriseClient、VeeamNFSSvc、VeeamTransportSvc、VeeamDeploymentSvc

枚举系统中所有服务和其依赖服务，结束其中匹配以下字符串的服务：mepocs、memtas、veeam、svc$、backup、sql、vss、msexchange、sql$、mysql、mysql$、

sophos、MSExchange、MSExchange$、WSBExchange、PDVFSService、BackupExecVSSProvider、BackupExecAgentAccelerator、BackupExecAgentBrowser、BackupExecDiveciMediaService、BackupExecJobEngine、BackupExecManagementService、BackupExecRPCService、GxBlr、GxVss、GxClMgrS、GxCVD、GxCIMgr、GXMMM、GxVssHWProv、GxFWD、SAPService、SAP、SAP$、SAPD$、SAPHostControl、SAPHostExec、QBCFMonitorService、QBDBMgrN、QBIDPService、AcronisAgent、VeeamNFSSvc、VeeamDeploymentService、VeeamTransportSvc、MVArmor、MVarmor64、VSNAPVSS、AcrSch2Svc

搜索文件进行加密
Blackcat会挂载未挂载磁盘为Z:卷并清空回收站，然后搜索文件进行加密。目标包括本地和网络资源数据，或是通过Blackcat参数”--paths”指定加密路径。加密目标排除以下目录和文件名：

system volume information、intel、$windows.~ws、application data、$recycle.bin、mozilla、$windows.~bt、public、msocache、windows、default、all users、tor browser、programdata、boot、config.msi、google、perflogs、appdata、windows.old
desktop.ini、autorun.inf、ntldr、bootsect.bak、thumbs.db、boot.ini、ntuser.dat、iconcache.db、bootfont.bin、ntuser.ini、ntuser.dat.log

跳过以下类型的文件后缀类型：

themepack、nls、diagpkg、msi、lnk、exe、cab、scr、bat、drv、rtp、msp、prf、msc、ico、key、ocx、diagcab、diagcfg、pdb、wpx、hlp、icns、rom、dll、msstyles、mod、ps1、ics、hta、bin、cmd、ani、386、lock、cur、idx、sys、com、deskthemepack、shs、ldf、theme、mpa、nomedia、spl、cpl、adv、icl、msu

攻击目标
    Esxi下的虚拟机关闭跳过*，可以看出该样本的勒索对象具有较强的针对性。并且在配置文件中的credentials字段值为：*.cn\\eadmin,，应是被用于该企业内网中域管理员机器的攻击。在其他Balckcat样本的配置数据中credentials字段值同样也有其他企业相关域名，这可用于确认该病毒是否是对受害企业目标进行的定向投放。

加密算法
    与大部分的勒索病毒相似，Blackcat使用非对称和对称结合的加密方式。非对称算法采用RSA-2048，用于加密对称加密密钥；Blackcat支持的对称加密算法包括AES和Salsa20，加密密钥通过BCryptGenRandom生成。所有文件进行全盘加密。
RSA密钥内置于病毒程序内部的配置中：

被加密的文件后缀名由加密程序指定，每个样本都有所不同，当前样本为：.sykffle。最终的文件名为：<filename>.<原后缀>.sykffle。

勒索信RECOVER-sykffle-FILES.txt：

>> Introduction

Important files on your system was ENCRYPTED and now they have have sykffle extension.
In order to recover your files you need to follow instructions below.

>> Sensitive Data

Sensitive data on your system was DOWNLOADED and it will be PUBLISHED if you refuse to cooperate.

Data includes:
- Employees personal data, CVs, DL, SSN.
- Complete network map including credentials for local and remote services.
- Financial information including clients data, bills, budgets, annual reports, bank statements.
- Complete datagrams/schemas/drawings for manufacturing in solidworks format
- And more...

Private preview is published here:****


>> CAUTION

DO NOT MODIFY FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.
YOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY.

>> Recovery procedure

Follow these simple steps to get in touch and recover your data:
1) Download and install Tor Browser from: https://torproject.org/
2) Navigate to:*****