我們將在本文中詳細(xì)介紹發(fā)生在 2023 年 2 月的 BlackCat 勒索軟件事件，研究人員在其中發(fā)現(xiàn)了一種新型逃避功能。

(相關(guān)資料圖)

2022 年 12 月下旬，Mandiant、Sophos 和 Sentinel One 的研究人員發(fā)現(xiàn)惡意內(nèi)核驅(qū)動(dòng)程序是通過(guò)幾個(gè)微軟硬件開(kāi)發(fā)人員帳戶 ( 由微軟 Windows 硬件開(kāi)發(fā)人員計(jì)劃認(rèn)證 ) 簽名的，微軟隨后撤銷了幾個(gè)在這些攻擊中被濫用的微軟硬件開(kāi)發(fā)者賬戶。

我們將在本文中介紹有關(guān) 2023 年 2 月發(fā)生的 BlackCat 勒索軟件事件，該變體與三家安全商 2022 年 12 月下旬披露的惡意驅(qū)動(dòng)程序重疊。眾所周知，BlackCat 在逃避功能上使用了多種技術(shù)，比如使用禁用和修改工具或使用安全模式引導(dǎo)技術(shù)。

本文重點(diǎn)分析揭示了這種新功能，它涉及使用簽名內(nèi)核驅(qū)動(dòng)程序進(jìn)行逃避。我們認(rèn)為這個(gè)新的內(nèi)核驅(qū)動(dòng)程序是一個(gè)最新版本，繼承了以前研究中披露的示例的主要功能。該驅(qū)動(dòng)程序與單獨(dú)的用戶客戶機(jī)可執(zhí)行文件一起使用，試圖控制、暫停和終止部署在攻擊目標(biāo)上的安全代理的各種進(jìn)程。

攻擊者使用不同的方法對(duì)其惡意內(nèi)核驅(qū)動(dòng)程序進(jìn)行簽名：通常是通過(guò)濫用 Microsoft 簽名門戶、使用泄露和被盜的證書(shū)或使用地下服務(wù)。在示例中，攻擊者試圖部署 Mandiant 披露的舊驅(qū)動(dòng)程序，該驅(qū)動(dòng)程序通過(guò) Microsoft 簽名 ( SHA256: b2f955b3e6107f831ebe67997f8586d4fe9f3e98 ) 。由于該驅(qū)動(dòng)程序之前已經(jīng)被發(fā)現(xiàn)并檢測(cè)到，攻擊者部署了另一個(gè)由被盜或泄露的交叉簽名證書(shū)簽名的內(nèi)核驅(qū)動(dòng)程序。

惡意簽名的內(nèi)核驅(qū)動(dòng)程序

我們觀察到的 2023 年 2 月的勒索軟件事件證明，勒索軟件運(yùn)營(yíng)商及其附屬機(jī)構(gòu)對(duì)獲得他們?cè)诠糁惺褂玫睦账鬈浖行ж?fù)載的特權(quán)級(jí)訪問(wèn)非常感興趣。他們通常使用包含低權(quán)限組件的勒索軟件家族，以避免在最終有效負(fù)載被釋放后被安全產(chǎn)品檢測(cè)到。跟蹤分析發(fā)現(xiàn)，大多數(shù)與內(nèi)核相關(guān)的有效負(fù)載通常是在企圖逃避階段被發(fā)現(xiàn)的。

內(nèi)核級(jí)攻擊的分布大多數(shù)與內(nèi)核相關(guān)的有效負(fù)載都是在企圖逃避階段被發(fā)現(xiàn)的

一些勒索軟件攻擊試圖遵守微軟的代碼簽名要求。這使得惡意攻擊者可以靈活地在釋放實(shí)際負(fù)載之前編譯為特定任務(wù) ( 通常涉及削弱防御和逃避 ) 設(shè)計(jì)的內(nèi)核模塊。攻擊者可以采取以下方法：

1. 使用代碼簽名證書(shū)，該證書(shū)要么是泄露的，要么是竊取的，要么是從黑市購(gòu)買的。

2. 通過(guò)模仿合法機(jī)構(gòu)并按照微軟的流程獲取交叉簽名證書(shū) ( 前提是微軟允許對(duì)內(nèi)核模式代碼進(jìn)行交叉簽名 ) ，濫用微軟的門戶來(lái)發(fā)布簽名的內(nèi)核模塊，獲得新的有效代碼簽名證書(shū)，以及從黑市購(gòu)買與真實(shí)身份相關(guān)的有效代碼簽名證書(shū)和 / 或擴(kuò)展驗(yàn)證（EV）證書(shū)。

顯示攻擊者如何遵守微軟代碼簽名要求的圖表

對(duì)簽名驅(qū)動(dòng)程序的分析

接下來(lái)，我們將研究二月 BlackCat 攻擊中使用的簽名驅(qū)動(dòng)程序（ktgn.sys）。下圖顯示了這些新簽署的驅(qū)動(dòng)程序的其他示例，以及它們是如何被用作 BlackCat 逃避程序的。

BlackCa 在逃避階段釋放的文件

通過(guò)虛擬機(jī)保護(hù)的用戶代理 tjr.exe 將內(nèi)核驅(qū)動(dòng)程序釋放到用戶臨時(shí)目錄 C:%User%AppDataLocalTempKtgn.sys。然后安裝被釋放的驅(qū)動(dòng)程序，名稱為 Ktgn，啟動(dòng)值為 System（在系統(tǒng)重新啟動(dòng)時(shí)啟動(dòng)）。通過(guò)我們對(duì)用戶與該驅(qū)動(dòng)程序交互時(shí)發(fā)生的情況的分析，我們觀察到它只使用了一個(gè)公開(kāi)的設(shè)備輸入和輸出控制（IOCTL）代碼—— Kill Process，該代碼用于阻止安裝在系統(tǒng)上的安全代理進(jìn)程。

與此同時(shí)，驅(qū)動(dòng)程序 ktgn.sys 使用當(dāng)前吊銷的有效數(shù)字簽名從 "BopSoft" ( 它也曾被其他攻擊者用于代碼簽名 ) 簽名，可以成功加載到執(zhí)行簽名策略的 64 位 Windows 安裝中，該驅(qū)動(dòng)程序使用 Safengine Protector v2.4.0.0 工具進(jìn)行混淆，這使得靜態(tài)分析技術(shù)不可靠。通過(guò)加載被混淆的驅(qū)動(dòng)程序并嘗試構(gòu)建一個(gè)用戶模式客戶端來(lái)觀察暴露的 IOCTL 接口，我們可以確定每個(gè) IOCTL 代碼的函數(shù)。最后，我們觀察到相同的內(nèi)核驅(qū)動(dòng)程序被不同的代碼簽名證書(shū)簽名。

具有不同簽名者的驅(qū)動(dòng)程序變體用于混淆二進(jìn)制文件的封裝程序

由于它沒(méi)有注冊(cè)卸載回調(diào)函數(shù)，因此只有在釋放或修改服務(wù)注冊(cè)表項(xiàng)后重新啟動(dòng)系統(tǒng)時(shí)，才能卸載驅(qū)動(dòng)程序。

服務(wù)控制管理器無(wú)法停止該服務(wù)缺少卸載函數(shù)的驅(qū)動(dòng)程序

一個(gè)名為 \.keHeperDriverLink 的符號(hào)鏈接被創(chuàng)建，該符號(hào)允許用戶模式客戶端與其連接和通信。請(qǐng)注意，該鏈接只允許一個(gè)連接，如果多個(gè)客戶端試圖同時(shí)連接，系統(tǒng)將崩潰。

正在檢查另一個(gè)用戶模式進(jìn)程是否正在嘗試連接到驅(qū)動(dòng)程序暴露的 IOCTL 接口

這個(gè)客戶機(jī)支持 10 個(gè)不同的命令，每個(gè)命令實(shí)現(xiàn)一個(gè)特定的功能，該功能由內(nèi)核驅(qū)動(dòng)程序通過(guò)適當(dāng)?shù)?IOCTL 接口執(zhí)行。驅(qū)動(dòng)程序和用戶模式客戶端之間的通信使用 irp_mj_devicide_control 處理程序通過(guò)以下代碼發(fā)生，每個(gè) IOCTL 代碼及其對(duì)應(yīng)的功能：

222088h：激活驅(qū)動(dòng)程序

22208ch：取消激活驅(qū)動(dòng)程序

222094h：終止進(jìn)程

222184h：刪除文件

222188h：強(qiáng)制刪除文件

22218ch：復(fù)制文件

222190h：強(qiáng)制復(fù)制文件

2221c8h：注冊(cè)進(jìn)程 / 線程對(duì)象通知

2221c4h：注銷進(jìn)程 / 線程對(duì)象通知

222264h：重啟系統(tǒng)

根據(jù)我們對(duì)內(nèi)核驅(qū)動(dòng)程序的分析，它似乎仍在開(kāi)發(fā)和測(cè)試中，因?yàn)樗慕Y(jié)構(gòu)不是很好，而且它的一些功能目前還不能使用。接下來(lái)將介紹各種 IOCTL 接口的詳細(xì)信息。

IOCTL 222088h

在執(zhí)行任何其他操作之前，必須首先調(diào)用 IOCTL 222088h 來(lái)激活驅(qū)動(dòng)程序。如果未調(diào)用此代碼，驅(qū)動(dòng)程序?qū)⒉唤邮苋魏尾僮鳎⒎祷叵?STATUS_ACCESS_DENIED。用戶模式客戶端將此激活字節(jié)數(shù)組發(fā)送給驅(qū)動(dòng)程序。

激活是對(duì)位于驅(qū)動(dòng)程序中的大小為 0x42 的硬編碼字節(jié)數(shù)組進(jìn)行簡(jiǎn)單的字節(jié)比較。如果比較通過(guò)，它將設(shè)置一個(gè) BOOLEAN 標(biāo)志，該標(biāo)志將在任何操作之前進(jìn)行檢查。

運(yùn)行內(nèi)存中的激活字節(jié)數(shù)復(fù)制激活字節(jié)以測(cè)試驅(qū)動(dòng)程序操作

IOCTL 22208 ch

IOCTL 22208Ch 在用戶模式客戶端完成取消之前在 IOCTL 代碼 222088h 中設(shè)置的標(biāo)志的操作后被調(diào)用。這將使驅(qū)動(dòng)程序失效并停止處理任何新的操作。

客戶端將需要傳遞 IOCTL 代碼 222088h 中傳遞的相同字節(jié)數(shù)組，以便成功完成操作。

IOCTL 222094 h

IOCTL 222094h 用于阻止任何用戶模式進(jìn)程（甚至是受保護(hù)的進(jìn)程）。Tt 從用戶代理接收進(jìn)程 ID，然后在目標(biāo)進(jìn)程上下文中創(chuàng)建內(nèi)核線程。創(chuàng)建的內(nèi)核線程調(diào)用 ZwTerminateProcess API 來(lái)終止目標(biāo)進(jìn)程。

檢查驅(qū)動(dòng)程序是否激活

IOCTL 222094h 終止進(jìn)程

IOCTL 222184 h

IOCTL 222184h 用于刪除特定的文件路徑。

IOCTL 222184h 刪除文件路徑

IOCTL 222188 h

IOCTL 222188h 強(qiáng)制刪除文件。為此，內(nèi)核驅(qū)動(dòng)程序執(zhí)行以下操作：

1. 它嘗試使用暴力方法打開(kāi)系統(tǒng)上的所有進(jìn)程（從 PID=0x4 到 PID=0x27FFD）；

2. 當(dāng)它成功地打開(kāi)一個(gè)進(jìn)程時(shí)，它會(huì)嘗試引用進(jìn)程內(nèi)的所有句柄，再次使用暴力方法（從 HANDLE=0x4 開(kāi)始到 HANDLE=0x27FFD）；

3. 當(dāng)它成功引用句柄時(shí)，它使用 ObQueryNameString API 將句柄映射到名稱。當(dāng)找到匹配項(xiàng)時(shí)，內(nèi)核驅(qū)動(dòng)程序關(guān)閉句柄。

此操作將確保關(guān)閉對(duì)該文件的所有引用，并且該操作可以成功完成，而不會(huì)出現(xiàn)任何錯(cuò)誤，說(shuō)明該文件正被其他應(yīng)用程序使用。

暴力破解 PID暴力破解句柄

IOCTL 22218 ch

IOCTL 22218Ch 用于復(fù)制文件。

IOCTL 22218Ch 用于復(fù)制文件

IOCTL 222190 h

IOCTL 222190h 用于強(qiáng)制復(fù)制文件。驅(qū)動(dòng)程序使用與強(qiáng)制刪除相同的操作（IOCTL 代碼：222188h）。它使用暴力方法關(guān)閉所有進(jìn)程對(duì)文件的所有引用，然后復(fù)制文件。

IOCTL 2221C4h 和 IOCTL 2221C8h

IOCTL 2221C4h 和 2221C8h 都用于注冊(cè)和注銷進(jìn)程 / 線程通知回調(diào)。然而，在撰寫本文時(shí)，這兩條路徑都是無(wú)法實(shí)現(xiàn)的，這表明它們?nèi)蕴幱陂_(kāi)發(fā)或測(cè)試階段。

注冊(cè)對(duì)象通知的偽代碼注銷對(duì)象通知的偽代碼對(duì)象通知函數(shù)的偽代碼

IOCTL 222264 h

IOCTL 222264h 通過(guò)調(diào)用 HalReturnToFirmware API 重啟系統(tǒng)。

總結(jié)

攻擊者通過(guò)終端保護(hù)平臺(tái) ( EPP ) 和終端檢測(cè)與響應(yīng) ( EDR ) 技術(shù)，正在積極尋求對(duì) Windows 操作系統(tǒng)的高權(quán)限訪問(wèn)的惡意攻擊，繞過(guò)各類防護(hù)措施。由于這些添加的保護(hù)層，攻擊者傾向于選擇阻力最小的方法，通過(guò)內(nèi)核層（甚至更低級(jí)別）運(yùn)行惡意代碼。所以我們認(rèn)為，這種威脅會(huì)一直存在。

惡意攻擊者將繼續(xù)使用 rootkit 對(duì)安全工具隱藏惡意代碼，繞過(guò)防御，并在很長(zhǎng)一段時(shí)間內(nèi)不會(huì)被檢測(cè)到。這些 rootkit 將被惡意組織大量使用，他們既擁有逆向工程低級(jí)系統(tǒng)組件的技能，又擁有開(kāi)發(fā)此類工具所需的資源。這些惡意攻擊者還擁有足夠的財(cái)力，可以從黑市購(gòu)買 rootkit 或購(gòu)買代碼簽名證書(shū)來(lái)構(gòu)建 rootkit。這意味著涉及這類 rootkit 的主要危險(xiǎn)在于它們能夠隱藏復(fù)雜的有針對(duì)性的攻擊，這些攻擊將在攻擊的早期使用，允許攻擊者在受害者環(huán)境中啟動(dòng)實(shí)際有效負(fù)載之前就逃脫檢測(cè)。

緩解措施

代碼簽名證書(shū)通常會(huì)被攻擊者濫用，因?yàn)樗鼈冊(cè)诠糁刑峁┝祟~外的混淆層。對(duì)于組織來(lái)說(shuō)，泄露的密鑰不僅會(huì)帶來(lái)安全風(fēng)險(xiǎn)，還會(huì)導(dǎo)致對(duì)原始簽名軟件的聲譽(yù)和信任的喪失。企業(yè)應(yīng)該通過(guò)實(shí)現(xiàn)最佳實(shí)踐來(lái)保護(hù)他們的證書(shū)，例如減少對(duì)私鑰的訪問(wèn)，從而降低對(duì)證書(shū)進(jìn)行未經(jīng)授權(quán)訪問(wèn)的風(fēng)險(xiǎn)。為私鑰使用強(qiáng)密碼和其他身份驗(yàn)證方法還可以幫助保護(hù)它們免受惡意攻擊者的竊取或破壞。此外，使用單獨(dú)的測(cè)試簽名證書(shū) ( 用于測(cè)試環(huán)境中使用的預(yù)發(fā)布代碼 ) 可以最大限度地減少實(shí)際發(fā)布簽名證書(shū)在攻擊中被濫用的可能性。

對(duì)于一般的勒索軟件攻擊，組織可以實(shí)現(xiàn)一個(gè)系統(tǒng)的安全框架，分配資源來(lái)建立一個(gè)強(qiáng)大的防御策略。建議如下：

盤點(diǎn)資產(chǎn)和數(shù)據(jù)；

識(shí)別授權(quán)和未經(jīng)授權(quán)的設(shè)備和軟件；

審計(jì)事件和事件日志；

管理硬件和軟件配置；

僅在必要時(shí)授予管理員權(quán)限和訪問(wèn)權(quán)限；

監(jiān)控網(wǎng)口、協(xié)議和服務(wù)；

為合法應(yīng)用程序建立軟件許可列表；

實(shí)施數(shù)據(jù)保護(hù)、備份和恢復(fù)措施；

啟用多因素身份驗(yàn)證 ( MFA ) ；

在系統(tǒng)各層部署最新版本的安全解決方案；

注意攻擊的早期跡象；

保護(hù)潛在的入口點(diǎn) ( 如終端、電子郵件、web 和網(wǎng)絡(luò) ) ，組織可以檢測(cè)并防范惡意元素和可疑活動(dòng)，從而保護(hù)自己免受勒索軟件攻擊。