“黑猫”又伸出恶魔之手?揭秘BlackCat病毒的三重勒索
字数 2126 2025-08-26 22:11:23

BlackCat勒索病毒深度分析与防御指南

一、BlackCat病毒概述

BlackCat(又名ALPHV)是首个广为人知的用Rust编写的勒索病毒,采用勒索软件即服务(RaaS)商业模式,具有以下显著特征:

  1. 三重勒索模式

    • 加密受害者数据
    • 窃取敏感数据并威胁泄露
    • 对不支付赎金的受害者实施DDoS攻击

  2. 技术特点

    • 使用Rust语言编写,具有更好的跨平台性和反分析能力
    • 采用AES或ChaCha20加密算法
    • 包含复杂的配置系统,支持多种攻击选项

二、恶意行为分析

1. 启动与参数校验

  • 必须使用--access-token参数启动,用于绕过沙箱分析
  • 无参数或无效token启动时会输出错误信息
  • 支持多种配置参数:
    • 子进程方式运行
    • 拖拽启动
    • 日志记录
    • 网络共享探索
    • Windows系统传播
    • ESXI虚拟机操作等

2. 前期准备工作

  • 启用远程文件共享:fsutil behavior set SymlinkEvaluation R2R:1
  • 调整网络请求服务器服务注册表值至65535,避免加密过程中的文件访问问题

3. 信息收集

BlackCat会收集以下系统信息:

  1. 机器GUID(通过注册表SOFTWARE\Microsoft\Cryptography
  2. 设备UUID(通过WMI查询)
  3. IP-MAC地址对应表
  4. 磁盘驱动器信息
  5. 计算机名和用户名
  6. AD域名信息
  7. 用户权限检查:
    • 使用SHTestTokenMenbership检查域管理员权限(0x220 = DOMAIN_ALIAS_RID_ADMINS)
    • 通过NtQueryInformationToken检索令牌关联的组账号

4. 防御规避技术

  1. 进程与服务终止

    • 通过OpenScManagerW查询服务控制管理数据库
    • 枚举并终止指定服务和进程

  2. 系统恢复破坏

    • 使用vssadmin.exewmic删除系统备份
    • 关闭BCDedit中的自动修复功能
    • 清除所有系统事件日志

  3. 反取证措施

    • 使用TLS回调函数
    • 命令行参数启动
    • 删除卷影副本

5. 提权技术

  1. UAC绕过

    • 利用CMSTPLUA COM接口
    • 调用CoInitializeEx初始化COM库(0x2 = COINIT_APARTMENTTHREADED)
    • 通过CoGetObject绑定自提权接口

  2. API提权

    • 获取当前进程令牌句柄(0x80000000 = GENERIC_READ)
    • 启用包括以下在内的多项特权:
      • SeTakeOwnershipPrivilege
      • SeDebugPrivilege
      • SeBackupPrivilege
      • SeRestorePrivilege等25种特权

6. 文件加密机制

  1. 密钥生成

    • 使用BCryptGenRandom生成16字节随机AES密钥
    • 生成130字节随机数据与配置密钥组合成256字节缓冲区

  2. 加密过程

    • 文件头开始遍历
    • 使用AES-128算法(aesenc和aesenclast指令)
    • 添加自定义后缀(如".7dulptm")
    • 写入勒索信"RECOVER-7dulptm-FILES"

  3. 密钥保护

    • 使用内嵌RSA公钥加密AES密钥
    • 加密密钥大小0x100字节

7. 横向移动

  1. 网络发现:

    • 广播NetBIOS名称服务(NBNC)消息
    • 通过PsExec使用窃取的凭据复制自身到其他服务器

  2. 权限检查:

    • 再次验证域管理员权限
    • 检索令牌组信息确认管理员权限

三、内嵌配置分析

BlackCat使用JSON格式的配置文件,包含以下关键信息:

  1. 目标选择

    • 要加密的文件扩展名列表
    • 要终止的服务和进程列表

  2. 排除项

    • 避免加密的文件夹(如system volume information、windows等)
    • 避免加密的文件扩展名(如exe、dll、msi等)
    • 避免加密的特定文件名(如desktop.ini、ntldr等)

  3. 勒索组件

    • 勒索信名称和内容
    • 被盗凭据列表
    • 加密算法配置(AES或ChaCha20)

  4. RSA公钥

    • 用于加密AES密钥的公钥

四、防御建议

1. 预防措施

  • 禁用不必要的远程文件共享功能
  • 限制PsExec等远程管理工具的使用
  • 实施最小权限原则,限制域管理员权限
  • 定期备份关键数据,并确保备份与主系统隔离

2. 检测措施

  • 监控异常的服务终止行为
  • 警惕大量文件修改操作
  • 检测vssadmin.exe等备份删除工具的使用
  • 监控异常的网络共享访问

3. 应急响应

  1. 隔离感染主机
  2. 检查域内其他系统是否受影响
  3. 保留事件日志等取证数据
  4. 不要直接支付赎金
  5. 联系专业网络安全团队协助处理

4. 技术防护

  • 部署具有行为检测能力的终端防护方案
  • 启用文件完整性监控
  • 实施网络分段,限制横向移动
  • 定期更新系统和应用程序补丁

五、总结

BlackCat代表了新一代勒索软件的发展趋势,具有以下特点:

  1. 使用现代编程语言(Rust)提高跨平台能力
  2. 采用三重勒索模式增加受害者支付压力
  3. 包含完善的配置系统支持多种攻击场景
  4. 实施全面的反取证和防御规避技术

企业应建立多层次防御体系,重点关注权限管理、备份保护和异常行为监控,以有效应对此类高级威胁。

BlackCat勒索病毒深度分析与防御指南 一、BlackCat病毒概述 BlackCat(又名ALPHV)是首个广为人知的用Rust编写的勒索病毒,采用勒索软件即服务(RaaS)商业模式,具有以下显著特征: 三重勒索模式 : 加密受害者数据 窃取敏感数据并威胁泄露 对不支付赎金的受害者实施DDoS攻击 技术特点 : 使用Rust语言编写,具有更好的跨平台性和反分析能力 采用AES或ChaCha20加密算法 包含复杂的配置系统,支持多种攻击选项 二、恶意行为分析 1. 启动与参数校验 必须使用 --access-token 参数启动,用于绕过沙箱分析 无参数或无效token启动时会输出错误信息 支持多种配置参数: 子进程方式运行 拖拽启动 日志记录 网络共享探索 Windows系统传播 ESXI虚拟机操作等 2. 前期准备工作 启用远程文件共享: fsutil behavior set SymlinkEvaluation R2R:1 调整网络请求服务器服务注册表值至65535,避免加密过程中的文件访问问题 3. 信息收集 BlackCat会收集以下系统信息: 机器GUID(通过注册表 SOFTWARE\Microsoft\Cryptography ) 设备UUID(通过WMI查询) IP-MAC地址对应表 磁盘驱动器信息 计算机名和用户名 AD域名信息 用户权限检查: 使用 SHTestTokenMenbership 检查域管理员权限(0x220 = DOMAIN_ ALIAS_ RID_ ADMINS) 通过 NtQueryInformationToken 检索令牌关联的组账号 4. 防御规避技术 进程与服务终止 : 通过 OpenScManagerW 查询服务控制管理数据库 枚举并终止指定服务和进程 系统恢复破坏 : 使用 vssadmin.exe 和 wmic 删除系统备份 关闭BCDedit中的自动修复功能 清除所有系统事件日志 反取证措施 : 使用TLS回调函数 命令行参数启动 删除卷影副本 5. 提权技术 UAC绕过 : 利用CMSTPLUA COM接口 调用 CoInitializeEx 初始化COM库(0x2 = COINIT_ APARTMENTTHREADED) 通过 CoGetObject 绑定自提权接口 API提权 : 获取当前进程令牌句柄(0x80000000 = GENERIC_ READ) 启用包括以下在内的多项特权: SeTakeOwnershipPrivilege SeDebugPrivilege SeBackupPrivilege SeRestorePrivilege等25种特权 6. 文件加密机制 密钥生成 : 使用 BCryptGenRandom 生成16字节随机AES密钥 生成130字节随机数据与配置密钥组合成256字节缓冲区 加密过程 : 文件头开始遍历 使用AES-128算法(aesenc和aesenclast指令) 添加自定义后缀(如".7dulptm") 写入勒索信"RECOVER-7dulptm-FILES" 密钥保护 : 使用内嵌RSA公钥加密AES密钥 加密密钥大小0x100字节 7. 横向移动 网络发现: 广播NetBIOS名称服务(NBNC)消息 通过PsExec使用窃取的凭据复制自身到其他服务器 权限检查: 再次验证域管理员权限 检索令牌组信息确认管理员权限 三、内嵌配置分析 BlackCat使用JSON格式的配置文件,包含以下关键信息: 目标选择 : 要加密的文件扩展名列表 要终止的服务和进程列表 排除项 : 避免加密的文件夹(如system volume information、windows等) 避免加密的文件扩展名(如exe、dll、msi等) 避免加密的特定文件名(如desktop.ini、ntldr等) 勒索组件 : 勒索信名称和内容 被盗凭据列表 加密算法配置(AES或ChaCha20) RSA公钥 : 用于加密AES密钥的公钥 四、防御建议 1. 预防措施 禁用不必要的远程文件共享功能 限制PsExec等远程管理工具的使用 实施最小权限原则,限制域管理员权限 定期备份关键数据,并确保备份与主系统隔离 2. 检测措施 监控异常的服务终止行为 警惕大量文件修改操作 检测vssadmin.exe等备份删除工具的使用 监控异常的网络共享访问 3. 应急响应 隔离感染主机 检查域内其他系统是否受影响 保留事件日志等取证数据 不要直接支付赎金 联系专业网络安全团队协助处理 4. 技术防护 部署具有行为检测能力的终端防护方案 启用文件完整性监控 实施网络分段,限制横向移动 定期更新系统和应用程序补丁 五、总结 BlackCat代表了新一代勒索软件的发展趋势,具有以下特点: 使用现代编程语言(Rust)提高跨平台能力 采用三重勒索模式增加受害者支付压力 包含完善的配置系统支持多种攻击场景 实施全面的反取证和防御规避技术 企业应建立多层次防御体系,重点关注权限管理、备份保护和异常行为监控,以有效应对此类高级威胁。