BEAST勒索软件（Windows版）技术分析与防御教学

1. 恶意软件概述

1.1 家族背景

BEAST勒索软件（别称Monster）是2022年3月首次发现的勒索软件即服务（RaaS）家族。该组织在俄语黑客论坛"Ramp"上进行推广，采用多语言（俄语、英语、中文）招募合作伙伴，具有典型的俄语系勒索软件特征。

1.2 技术演进历程

• 初期版本：Delphi语言开发
• 后期版本：C语言和Go语言开发
• 平台支持：Windows、Linux、ESXi、NAS系统
• 生成器类型：Windows GUI、Windows CLI、Linux、NAS、ESXI及离线生成器

2. 样本技术特征

2.1 基础信息

2.2 感染特征

• 加密后缀：.{620E6797-67ED-8F7A-8533-7CE58E9D2FC6}.BEASET
• 勒索信文件：readme.txt
• 勒索邮箱：edatax@airmail.cc

3. 攻击链分析（TTPs）

3.1 初始入侵向量

• 钓鱼邮件投递恶意载荷
• RDP暴力破解
• 已知系统漏洞利用

3.2 横向移动策略

• 凭证窃取与暴力破解
• 利用有效账户渗透其他服务器
• 网络内侦察与数据窃取

3.3 双重勒索机制

• 数据窃取+文件加密组合攻击
• 威胁公开窃取的数据

4. 技术实现细节

4.1 环境检测与规避

地区白名单检查机制：

// 获取系统区域信息
GetLocaleInfoW(0x400, 0x7, &Region, 6);
// 检查是否在白名单国家
if (区域代码匹配白名单) {
    ExitProcess(0); // 直接退出，不执行加密
}

白名单国家列表：

• CIS国家：AM、AZ、BY、CY、GE、KZ、KG、MD、RU、TJ、TM、UA、UZ
• 其他：VN（越南）

4.2 持久化机制

// 注册表自启动项
RegSetValueExW(hKey, L"encrypter-windows-x86", 0, 1, Data, Size);

持久化路径： SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4.3 反取证措施

回收站清空：

SHEmptyRecycleBinW(0, 0, 0x500);

进程终止目标： agntsvc.exe（数据库代理服务）

4.4 存储空间最大化

隐藏卷挂载逻辑：

// 获取卷GUID路径
GetVolumeNameForVolumeMountPointW(RootPathName, VolumeName, 0x104);
// 挂载到新驱动器
SetVolumeMountPointW(MountPoint, VolumeName);

4.5 受害者信息统计

通信地址： https://iplogger.co/14KyV4.torrent
用途： IP地址和地理位置信息统计

5. 核心加密机制

5.1 文件遍历策略

• 避开Windows系统目录
• 遍历所有可用驱动器（包括隐藏卷）
• 递归扫描子目录

5.2 加密算法细节

加密算法： ChaCha20流加密
加密模式： 分块加密策略

分块加密参数：

• 块大小：0x20000（约131KB）
• 加密模式：[加密块] → [未加密块] → [加密块] → [未加密块]
• 目的：平衡加密速度与破坏效果

5.3 文件处理流程

1. 获取文件大小：GetFileSizeEx
2. 读取文件内容：ReadFile
3. 分块加密处理：ChaCha20算法加密
4. 写入加密数据：WriteFile
5. 添加加密标记：文件末尾写入特定标识

加密标记特征：

00 00 00 00 00 00 66 6B EA 57 1A BE 16 66

6. 检测与防御方案

6.1 网络层防护

• RDP安全加固：关闭不必要的RDP端口，启用多因素认证
• 网络监控：检测异常RDP连接和暴力破解行为
• 出口过滤：阻止与IP记录服务（iplogger.co）的通信

6.2 终端防护措施

行为检测规则：

rule Beast_Ransomware_Behavior {
    meta:
        description = "检测BEAST勒索软件典型行为"
    strings:
        $reg_persistence = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
        $recycle_bin = "SHEmptyRecycleBinW"
        $volume_mount = "SetVolumeMountPointW"
    condition:
        any of them
}

关键监控点：

• 注册表Run键值修改
• 大量文件加密操作（.BEASET扩展名）
• 回收站清空行为
• 隐藏卷挂载操作

6.3 数据保护策略

备份策略： 3-2-1备份原则

• 3份数据副本
• 2种不同存储介质
• 1份离线备份

关键注意事项：

• BEAST会挂载隐藏卷，在线备份可能被同时加密
• 必须包含物理隔离的离线备份

6.4 应急响应流程

1. 立即隔离：断开受感染主机网络连接
2. 威胁评估：确定加密范围和数据损失
3. 取证分析：收集IOC和攻击痕迹
4. 恢复计划：使用离线备份进行数据恢复
5. 加固措施：修补安全漏洞，加强防护

7. 威胁狩猎指标（IOCs）

7.1 文件哈希

• MD5: 3b5950325efd4aa6865a776daed6a515
• SHA256: 97de86078c7dedda1791ce2f3b7f2d3907b46bcbe4722c43cb6889dff12533f6

7.2 网络指标

• C2通信：https://iplogger.co/14KyV4.torrent
• 勒索联系：edatax@airmail.cc

7.3 行为指标

• 文件扩展名：.BEASET
• 注册表键：encrypter-windows-x86
• 进程名：agntsvc.exe（终止目标）

8. 总结与建议

BEAST勒索软件虽然技术上没有重大创新，但其针对性的攻击策略和高效的加密机制使其对制造业等实体行业构成严重威胁。防御重点应放在：

1. 预防：加强边界安全，特别是RDP服务防护
2. 检测：部署EDR解决方案，监控异常行为
3. 响应：建立完善的备份和恢复流程
4. 意识：提高员工安全意识，防范钓鱼攻击

通过多层次的安全防护和及时的威胁检测，可以有效降低BEAST等勒索软件带来的业务风险。