除了加密勒索，完整源碼泄露的Babuk勒索還有哪些特征？

作者：深信服千里目安全實驗室 2021-09-28 09:10:52

分析發現，Babuk勒索軟件除了會跟其他勒索家族一樣加密文件外，還會竊取被攻擊目標的數據，以威脅受害者支付贖金。

背景介紹

近期Babuk勒索軟件的完整源代碼被泄露，據泄露源代碼的黑客自稱是想要改過自新，但是這一公開源代碼的舉動反而拉低了其他潛在犯罪團伙制作勒索軟件的成本，后續是否會因此涌現更多的勒索軟件不得而知。

Babuk勒索最早曝光于2021年初，讓他們“一躍成名”的是在今年的4月份攻擊了華盛頓大都會警察局，威脅不提交贖金將公開警方線人和其他敏感數據，并持續瞄準FBI、CSA等部門。但他們也并不是只針對執法機構，此前已攻擊了多家大型企業和組織，如包括西班牙連鎖手機零售商PhoneHouse和NBA休斯頓火箭隊，一度成為2021年最活躍的勒索家族之一。

圖源于網絡：Babuk公開的華盛頓大都會警察局被竊取的數據文件

Babuk勒索軟件特點

深信服終端安全團隊長期跟蹤全球范圍內的高級威脅，在海外攻擊場景中捕獲最新的Babuk勒索樣本，在對該勒索軟件進一步分析后，發現Babuk勒索軟件除了會跟其他勒索家族一樣加密文件外，還會竊取被攻擊目標的數據，以威脅受害者支付贖金。

相比于其他勒索團伙，Babuk的使用了更加多樣的攻擊手法，包括：

利用APT攻擊中常見的“白加黑”手段繞過靜態檢測;
使用自動化安裝腳本批量投放，替代手動投放執行勒索;
運維不同平臺的勒索病毒代碼，具有針對Linux系統的勒索功能。

同時，該團伙的攻擊過程非常有耐心，潛伏時間相當長，可能達到兩個月以上，因此在實施最后的攻擊后往往會對受害者造成相當大的影響，目前深信服終端檢測平臺EDR已支持該勒索病毒的防護查殺。

入侵手法：C2連接工具

C2連接工具由三個文件構成：

其中GoogleUpdate.exe是帶有Google數字簽名的可執行程序，GoogleUpdate運行過程會加載goopdate.dll文件;

而goopdate.dll則是被劫持的shellcode加載器，讀取thumb.db中的shellcode并解碼運行;

安全專家對通過調試發現C2服務器地址為 103.79.77.242/Inform/registration/Q0FNEMDCNR9 ，但該地址目前已無法連接。

GoogleUpdate.exe+goopdate.dll屬于利用白文件加載惡意程序以躲避殺毒軟件檢測的操作，可以從網上搜索到諸多案例。(注：海蓮花APT也用過同樣的手法)

勒索批量安裝腳本

安全專家還發現一組勒索軟件批量安裝腳本，有下面三個文件：

e.txt中儲存的是被勒索的主機IP地址

e.bat調用了e.vbs實現批量遠程執行命令：

e.vbs的功能列表如下：

e.vbs的腳本內容比較簡單，首先使用net use 連接目標主機;

然后遠程執行命令;

值得注意的是，該腳本還會將受害主機中的 C:/Windows/Temp 目錄共享出去，方便傳輸文件等操作。

樣本分析

Windows:

程序首先執行勒索加密前準備，包括：

停止相關服務
結束相關進程
刪除卷影副本
清空回收站

Babuk勒索軟件首先停止如下服務以保障加密順利進行：

vss、sql、svc$、memtas、mepocs、sophos、veeam、backup、GxVss、GxBlr、GxFWD、GxCVD、GxCIMgr、DefWatch、ccEvtMgr、ccSetMgr、SavRoam、RTVscan、QBFCService、QBIDPService、Intuit、QuickBooks、FCS、QBCFMonitorService、YooBackup、YooIT、zhudongfangyu、sophos、stc_raw_agent、VSNAPVSS、VeeamTransportSvc、VeeamDeploymentService、VeeamNFSSvc、veeam、PDVFSService、BackupExecVSSProvider、BackupExecAgentAccelerator、BackupExecAgentBrowser、BackupExecDiveciMediaService、BackupExecJobEngine、BackupExecManagementService、BackupExecRPCService、AcrSch2Svc、AcronisAgent、CASAD2DWebSvc、CAARCUpdateSvc

結束如下進程，避免數據文件被占用而無法加密：

sql.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefox.exe、tbirdconfig.exe、mydesktopqos.exe、ocomm.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、notepad.exe

刪除卷影副本：

獲取系統信息，然后根據處理器數量創建對應數量的加密線程：

跳過如下文件及文件夾：

AppData、Boot、Windows、Windows.old、Tor Browser、Internet Explorer、Google、Opera、Opera Software、Mozilla、Mozilla Firefox、$Recycle.Bin、ProgramData、All Users、autorun.inf、boot.ini、bootfont.bin、bootsect.bak、bootmgr、bootmgr.efi、bootmg**.efi、desktop.ini、iconcache.db、ntldr、ntuser.dat、ntuser.dat.log、ntuser.ini、thumbs.db、Program Files、Program Files (x86)、#recycle、..、.

跳過".exe"、".dll"、".babyk"后綴的文件：

將文件加上“.babyk”后綴后對其進行加密，加密算法采用了ECDH+HC-128：

為了避免文件因被進程占用而無法加密，除了結束特定進程及服務外，Babuk還使用了Windows Restart Manager。Windows Restart Manager允許除關鍵系統服務外的所有程序或服務關閉和重啟，從而可以減少或避免程序安裝或者更新過程中需要重啟的次數，Babuk利用其使文件可以被順利加密。