BlackCat運營商最近宣布對他們的工具進行更新，包括一個名為Munchkin的實用程序，它允許攻擊者將BlackCat有效負載傳播到遠程設備和受害者組織網絡上的共享。在過去的兩年中，作為勒索軟件即服務(RaaS)商業(yè)模式的一部分，BlackCat勒索軟件運營商一直在不斷發(fā)展和更新他們的工具。

在最新發(fā)現的樣本中，Unit 42的研究人員獲得了一個獨特的Munchkin樣本，因為它加載在自定義的Alpine虛擬機(VM)中。這種利用自定義虛擬機來部署惡意軟件的新策略在最近幾個月得到了越來越多的應用，允許勒索軟件攻擊者使用虛擬機來繞過部署惡意軟件有效負載的安全解決方案。

本文詳細介紹了這個新實用程序的攻擊進程，并進一步闡明了BlackCat攻擊者使用的持續(xù)策略。

BlackCat勒索軟件于2021年11月首次曝光，這種攻擊因其惡意軟件的復雜性以及使用Rust編程語言等獨特方法而臭名昭著。

與其他勒索軟件類似，BlackCat采用了RaaS商業(yè)模式，這種模式允許其他機構有償利用他們的工具，使用機構會獲得大約80-90%的贖金，其余的則交給運營商。

“BlackCat”組織及其使用機構歷來把目標鎖定在美國境內。然而，隨著時間的推移以及受歡迎程度，攻擊范圍正在逐漸擴大，最近，人們發(fā)現BlackCat的目標是全球眾多行業(yè)及其垂直行業(yè)的受害者。

BlackCat工具集多年來一直在不斷發(fā)展。

原始版本僅提供了一個嵌入式JSON配置，并沒有應用混淆或加密。

隨著時間的推移，操作人員更新了惡意軟件家族，以混淆這種底層配置。他們還需要一個唯一的命令行參數來執(zhí)行惡意軟件。在此過程中，BlackCat阻止了安全人員在此命令行參數不可用的情況下獲得底層有效進行研究。

惡意軟件家族一直在不斷發(fā)展，攻擊者采用了更多的功能和混淆機制。最近幾個月，BlackCat發(fā)布了一個名為“Munchkin”的新工具。

該工具提供了運行Sphynx(最新的BlackCat變體)的基于linux的操作系統(tǒng)。攻擊者可以使用此實用程序在遠程設備上運行BlackCat，或將其部署到加密遠程服務器消息塊(SMB)或通用互聯網文件共享(CIFS)。

Munchkin進程示意圖

在實際運行中，使用虛擬機運行惡意軟件是一種日益增長的趨勢。據報道，其他勒索軟件組織也利用了這種新策略。

這種方法的好處包括繞過主機操作系統(tǒng)上設置的任何安全控制或保護，例如防病毒軟件。由于這些解決方案通常在嵌入式虛擬化操作系統(tǒng)中沒有自省功能，惡意軟件將經常繞過現有的任何檢查。

在最近的調查中，Unit 42的研究人員能夠獲得這個VM實用程序的副本。因此，我們可以深入了解它是如何工作的。

Munchkin實用程序以ISO文件的形式提供，在VirtualBox虛擬化產品的新安裝樣本中加載。這個ISO文件代表了Alpine操作系統(tǒng)的自定義實現，攻擊者可能會選擇它，因為它占用空間小。操作系統(tǒng)啟動后，會執(zhí)行如下命令:

在此過程中，惡意軟件最初將虛擬機的根密碼更改為攻擊者選擇的密碼。它隨后通過內置的tmux實用程序生成一個新的終端會話，該實用程序用于執(zhí)行名為controller的惡意軟件二進制文件。惡意軟件完成執(zhí)行后，會關閉虛擬機。

控制器惡意軟件與其他相關文件一起托管在/app目錄中。此外，虛擬機操作系統(tǒng)中還包含其他相關且值得注意的文件。

虛擬機操作系統(tǒng)中包含的文件路徑及有關描述

除了上面提到的文件，大量的Python腳本直接存在于/usr/bin中，BlackCat操作符可以在VM的后續(xù)更新中使用這些腳本。

攻擊者可以使用上面的許多Python腳本進行橫向移動、密碼轉儲和在受害者網絡上進一步執(zhí)行惡意軟件。

控制器惡意軟件是用Rust編程語言編寫的，其方式與BlackCat惡意軟件家族非常相似。在執(zhí)行時，控制器最初將使用唯一的單字節(jié)異或操作解密大量字符串。

運行時的字符串解密

在字符串被解密后，攻擊者將執(zhí)行基本檢查，以確保預期的配置和有效負載文件駐留在/app目錄中。然后，該攻擊將反序列化并解析/app/config文件，如果這些文件不存在，或者如果它們無法被解析，惡意軟件將自行退出并顯示一條錯誤消息。

/app/config文件包含大量信息，包括控制器惡意軟件樣本隨后使用的以下信息：

訪問令牌；

任務標識符；

受害者憑據（包括用戶名、密碼和域）；

BlackCat受害者URL；

阻止列表的文件類型和路徑；

要加密的目標主機和共享；

解析配置后，控制器創(chuàng)建并掛載/payloads/目錄，用于托管隨后創(chuàng)建的BlackCat樣本?？刂破魇褂们懊嫣岬降?app/payload作為模板來創(chuàng)建自定義的BlackCat樣本。在模板文件中，控制器在修改該文件時查找并使用特定的標記。

基于模板和配置創(chuàng)建新的BlackCat示例

所創(chuàng)建的文件基于所提供的配置。但是，它們的命名如下，并帶有增量值:

創(chuàng)建這些有效負載后，惡意軟件繼續(xù)遍歷所提供的配置，目的是感染指定的任何SMB/CIFS驅動器。這些嘗試在寫入STDOUT的各種輸出中進行了概述，其示例如下所示。

注：實際的IP地址和共享名稱已在下面的輸出中進行了編輯。

惡意軟件完全執(zhí)行后，虛擬機將關閉電源，不再執(zhí)行進一步的操作。

研究人員發(fā)現以下消息嵌入到惡意軟件樣本中，但未使用，它可能在開發(fā)的某個階段被包括在內，但后來又被取消。

這條消息似乎是BlackCat的開發(fā)者給他們的使用組織的一條消息，敦促他們從不安全的環(huán)境中刪除這個文件。看來使用組織并沒有聽從這一建議。

惡意軟件的開發(fā)者，特別是那些背后的BlackCat勒索軟件使用者，繼續(xù)更新和發(fā)展他們的技術和戰(zhàn)術，這一點在他們最近發(fā)布的“Munchkin”中得到了充分體現。

惡意工具利用虛擬機來阻止主機上存在的安全管理功能，并反檢測方面領先于安全防護。

參考及來源：

https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/

原文來源：嘶吼專業(yè)版