虹科技术 | 终端入侵防御 | 在重大攻击中发现新的Babuk勒索软件

11月期间，Morphisec在调查一个客户的防范事件时发现了Babuk勒索软件的一个全新变种。Babuk在2021年初首次被发现，当时它开始针对企业进行双重勒索攻击，以窃取和加密数据。这一年晚些时候，一个威胁者在一个讲俄语的黑客论坛上泄露了Babuk的完整源代码。

现在，威胁者将Babuk泄露的源代码与开源规避软件和侧面加载技术结合起来，创造了一个以前未曾见过的变体。在同一个月，趋势科技发布了有关类似勒索软件的细节，错误地将其归于WannaRen，并以目标公司的名字命名该勒索软件。这一次，攻击者使用了一种新的Babuk病毒株，针对一家拥有超过1万台工作站和服务器设备的数十亿美元的制造公司。

攻击者在发动攻击前有两周的网络访问权，进行了充分的侦察。他们破坏了该公司的域控制器，并利用它通过GPO向该组织内的所有设备分发勒索软件。在这个时候，由于正在进行的调查，我们不会公布整个攻击链的细节。相反，我们将深入研究勒索软件本身。

技术分析

部署

在开始在域中大规模感染之前，攻击者在域控制器中部署了以下恶意软件文件：

· <file>.bat 一个BAT脚本，负责检查安全解决方案的存在，并开始执行一个微软安装程序（.msi）

· <file>.msi 我们在下面更详细地讨论这个安装程序

攻击者使用域控制器的NETLOGON文件夹--存放组策略登录脚本文件的共享文件夹。这确保了.bat文件在整个域中执行。

执行

msi安装程序包含四个文件：

· SapphireIMSClient.exe，这个可执行文件是NTSD.exe--一个用于Windows的符号调试器工具。它是一个合法的工具，但容易受到DLL侧面加载的影响：

· dbgeng.dll是主要的恶意软件组件，它冒充NTSD.exe使用的合法DLL，并利用DLL侧面加载漏洞。

· 两个加密的文件sc.ocs和config.ocs

.bat文件将：

· 在注册表中设置一个UAC旁路

· 检查安全解决方案并通过添加新的防火墙规则阻止与它们的通信

· 执行安装程序，负责将文件解压到C:\Users\Public\SapphireIMSClient\文件夹中。

之后，.bat会执行以下命令行：

C:\Users\Public\SapphireIMSClient\SapphireIMSClient.exe

C:\Users\Public\SapphireIMSClient\sc.ocs

C:\Users\Public\SapphireIMSClient\config.ocs

将开源工具注入合法的DLL中

如前所述，NTDS.exe（SapphireIMSClient.exe）是一个合法的可执行文件，它加载了一个名为dbgeng.dll的已知核心DLL，而没有验证其路径。攻击者在同一目录下投放了同名的恶意DLL。这导致了合法的微软签名进程的执行。攻击者之前也在使用有漏洞的Word Office应用程序。我们目前的假设是，他们的目标是微软签名的应用程序，因为这大大降低了机器学习的可疑分类阈值。(没有厂商想杀死微软的进程）。

dbgeng.dll中的恶意代码有两个职责：

1、将.OCS文件读入内存

A) sc.ocs 一个加密的shellcod--最终有效载荷的实际反射性装载器

B) config.OCS 一个加密的二进制文件--最终的有效载荷

2、执行下一个阶段

第一个任务是在一个新的线程中完成的，如以下片段所示：

该恶意软件从微软应用程序执行期间交付的命令行参数中读取.OCS文件路径，并对内容进行解密。

虽然这种逻辑在网上广为流传，但DLL中的代码与开源项目：pe-loader

（https://github.com/polycone/pe-loader/blob/master/loader/src/system/system.cpp）中的代码有高度的相似性。

如前所述，执行过程分为两个例程。第一个，由上图表示，位于DLL加载例程中，负责读取.OCS文件并解密sc.OCS文件（即shellcode）。第二个例程是DebugCreate导出的函数。它以一个长的 "Sleep "开始，等待读取任务结束，然后再继续。

在DebugCreate中，恶意软件将保护权限调整为RWX，解密有效载荷，并将执行转移到解密的shellcode。

反射式加载器shellcode

该shellcode作为一个反射性加载器。该代码是由Stephen Fewer（https://github.com/stephenfewer）首次发布的，但我们注意到了修改。原始技术有几十种实现和修改，但深入挖掘后发现，攻击者使用的shellcode与以下GitHub项目之间有很高的相关性：malisal/loaders/pe.c (https://github.com/malisal/loaders/blob/master/pe/pe.c)

攻击者编辑了一些函数，如Windows API散列函数，但整体结构和代码流是相同的。看起来攻击者从这个开源项目中获得了 "灵感"。

最后付费：修改后的Babuk勒索软件

最后的有效载荷是由去年泄露的源代码编译的Babuk勒索软件。

Hildaboo/BabukRansomwareSourceCode (https://github.com/Hildaboo/BabukRansomwareSourceCode)

有了以下要停止的进程列表：

"sql.exe" "dbeng50.exe"

"oracle.exe" "sqbcoreservice.exe"

"ocssd.exe" "excel.exe"

"dbsnmp.exe" "infopath.exe"

"synctime.exe" "msaccess.exe"

"agntsvc.exe" "mspub.exe"

"isqlplussvc.exe" "onenote.exe"

"xfssvccon.exe" "outlook.exe"

"mydesktopservice.exe" "powerpnt.exe"

"ocautoupds.exe" "steam.exe"

"encsvc.exe" "thebat.exe"

"firefox.exe" "thunderbird.exe"

"tbirdconfig.exe" "visio.exe"

"mydesktopqos.exe" "winword.exe"

"ocomm.exe" "wordpad.exe"

"dbeng50.exe" "notepad.exe"

相似性

· 代码结构：整体执行流程和代码结构与Babuk勒索软件所呈现的结构相关。

· 相同的加密算法：任何勒索软件最具有特征的功能之一是加密方法。我们验证了我们案例中的有效载荷与Babuk源代码中的有效载荷相匹配。

· 配置：原始和变种的配置和使用是重叠的。

下面的截图显示了某些代码块在源码和反编译中的匹配情况。

注意：编译器在某些情况下会发挥它的魔力，这可能导致不同的代码定位和代码减少。

修改

我们注意到影子拷贝的删除程序与源代码中的不同。

Babuk勒索软件

泄露的Babuk源代码显示，通过创建新的cmd.exe进程删除的影子副本将执行vssadmin.exe工具：

修改后的Babuk勒索软件：最终使用的有效载荷

恶意软件通过使用执行WMI查询的COM对象来遍历可用的影子副本。下面的代码片段显示了恶意软件如何执行WMI查询以获得每个影子副本的ID，然后使用COM，按ID删除每个影子副本。

值得注意的是，BlackMatter和Conti勒索软件等恶意软件也表现出类似的行为。

为什么防御Babuk勒索软件是如此困难

现代NGAV、EPP和EDR/XDR对运行时的可见性有限。它们通常被限制在使用钩子和/或Windows的事件跟踪（ETW）。假设钩子和ETW没有被篡改，它们只是应用程序生命周期内执行活动的沧海一粟。这意味着如果一个应用程序被成功加载，大多数时候安全监控解决方案将对应用程序的执行保持盲目，直到对系统的重大影响可见。

应用程序的虚拟化运行时地址空间要比单个文件大得多。因此，在应用程序执行期间应用传统的扫描方法是一场失败的战斗。此外，这种扫描大大降低了可用性，必须尽可能地减少。

攻击者知道监控和扫描解决方案的这些弱点，并努力在应用程序的内存中保持隐蔽。这适用于这个新的Babuk变体，它实现了侧面加载，在合法的应用程序内执行，并实现了反射性加载功能以隐藏其余的执行步骤。攻击者对其初始访问和横向移动步骤实施类似的规避技术，我们将在下一篇博客中介绍。