021年3月，微軟Exchange漏洞利用事件被公布報道，Exchange Server中的四個0day漏洞被超過10個APT黑客組織盯上，同時安全廠商發(fā)現(xiàn)了近7,000個經(jīng)由Exchange漏洞植入的webshell，用于攻擊者的后續(xù)惡意操作，這其中就包括DearCry勒索軟件。雖然Microsoft Defender 已經(jīng)自動更新定義檔，可在偵測到DearCry時加以封鎖，但只要Microsoft還沒修補好本月初披露的ProxyLogon漏洞，就還會有其他勒索軟件上門。

[[390195]]

3月18日以來，研究人員發(fā)現(xiàn)有黑客團伙開始使用Black KingDom勒索軟件來針對易受攻擊的Exchange服務(wù)器，這款勒索軟件并不復(fù)雜，其組成甚至顯得有些初級和業(yè)余，但仍可能造成很大的損害。它可能與去年運行于易受攻擊的Pulse Secure VPN集中器軟件的同名勒索軟件有關(guān)。

Web Shell交付

Black KingDom的交付是通過遠(yuǎn)程服務(wù)器進行編排的，該遠(yuǎn)程服務(wù)器的IP地址定位到德國的185.220.101.204，而攻擊者的運行地址是185.220.101.216，由于兩個IP地址都屬于Tor出口節(jié)點，因此無法知道攻擊者的實際位置。

攻擊者利用的是Microsoft Exchange Server本地部署版本的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞，也稱為ProxyLogon(CVE-2021-27065)。

成功突破Exchange服務(wù)器后，攻擊者通過webshell對服務(wù)器的遠(yuǎn)程訪問，進而執(zhí)行任意命令。

Webshell ChackLogsPL.aspx植入位置：

我們觀察到的其他Webshell文件名還有ckPassPL.aspx和hackIdIO.aspx。

Webshell是由w3wp.exe寫入磁盤的，w3wp.exe是承載Exchange管理中心(EAC)的Internet信息服務(wù)器(IIS)輔助進程，Microsoft將其內(nèi)部名稱命名為ECP(Exchange控制面板)：

勒索軟件的執(zhí)行和行為

部署完Webshell之后，攻擊者通過發(fā)出PowerShell命令來發(fā)起攻擊(由于大小限制，此處未完整顯示)：

解碼為以下腳本(已修改以提高可讀性)：

腳本從此處下載勒索軟件有效負(fù)載：hxxp://yuuuuu44[.]com/vpn-service/$(f1)/crunchyroll-vpn

$(f1)部分由函數(shù)f1生成，該函數(shù)生成一個由15個字母字符組成的隨機字符串，因此實際網(wǎng)址看起來像這樣：hxxp://yuuuuu44[.]com/vpn-service/ ojkgrctxslnbazd /crunchyroll-vpn

(截止本文發(fā)表，yuuuu44域會將訪問者重定向到NASA.GOV)

攻擊者將勒索軟件有效負(fù)載存儲在 \\[ComputerName]\c$\Windows\system32\ 文件夾中，有效負(fù)載文件名同樣由f1函數(shù)隨機生成，例如：C:\Windows\System32\ojkgrctxslnbazd.exe

腳本通過WMI(Windows管理界面)調(diào)用Win32_Process來執(zhí)行勒索軟件，腳本還有將勒索軟件上載到網(wǎng)絡(luò)上的其他計算機并執(zhí)行的功能。

影響

勒索軟件二進制文件基于Python腳本，通過PyInstaller編譯為可執(zhí)行文件。我們將二進制文件反編譯回其原始源代碼，創(chuàng)建者將源代碼命名為0xfff.py，其中的“ fff”代表十進制數(shù)4095的十六進制值，所代表的意義未知。

勒索軟件具有一個內(nèi)置的文件夾名稱列表，內(nèi)容沒有被加密：

勒索軟件試圖使用服務(wù)名稱中的SQL來停止計算機上運行的數(shù)據(jù)庫服務(wù)，大概也可以對它們進行加密：

加密密鑰是使用以下代碼生成的：

gen_string函數(shù)調(diào)用生成一個長度為64個字符的隨機字符串，腳本使用MD5對該值進行散列，之后轉(zhuǎn)換為十六進制字符，將其用作加密密鑰。

同時還生成gen_id，這是勒索軟件嵌入到贖金票據(jù)中的受害者標(biāo)識符。然后將密鑰和gen_id上傳到mega.io帳戶，如果勒索軟件由于某種原因無法將此隨機生成的加密密鑰上傳到Mega，則其回退形式為硬編碼的靜態(tài)密鑰：

文件加密功能的文件系統(tǒng)行為很簡單：讀取(原始)>覆蓋(加密)>重命名：

各文件代表功能如下：

對已加密文件進行重命名的代碼：選擇一個4到7個字節(jié)之間的隨機字符串，并將其附加到文件名中，因此其后綴不再映射到應(yīng)有的應(yīng)用程序：

我們的密碼保護系統(tǒng)捕獲了勒索軟件試圖加密的數(shù)據(jù)，原始遙測顯示了通過WMI執(zhí)行的勒索軟件二進制文件，如下(從3到1反向讀取Process Trace序列)：

為了進一步復(fù)雜化并阻礙事件響應(yīng)，勒索軟件刪除了Windows事件日志：

一旦對系統(tǒng)進行加密(或工作20分鐘后)，勒索軟件就會運行子例程，禁用鼠標(biāo)和鍵盤，并在桌面上打開全屏窗口。

生成屏窗口如下，帶有倒數(shù)計時器：

除加密數(shù)據(jù)外，贖金票據(jù)還存儲在一個名為crypto_file.TxT的文件中：

根據(jù)BitRef，攻擊者的加密貨幣錢包目前接收的交易概況如下，可能至少有一名受害者已經(jīng)支付了贖金：

本文翻譯自：https://news.sophos.com/en-us/2021/03/23/black-kingdom/