惡魔化身：新型勒索BlackMatter Windows和Linux通吃

自今年第二季度開始，DarkSide和REvil先後在美犯下大亂，在美俄聯手下，紛紛偃旗息鼓，REvil更是一度關閉了相關網站和伺服器。而在7月，一款名為BlackMatter的新型勒索病毒橫空出世，本以為是”平平無奇“的新人，但是經過海內外安全人員分析確認，該新型勒索竟與REvil和DarkSide有著很強的關聯性。

/深信服千里目實驗室曾對這個病毒家族做過跟蹤報導/

根據深信服終端安全團隊的調查發現，此勒索病毒的開發團隊為BlackMatter開發了windows版本和linux版本。Windows版本針對的是windows server以及windows7+。而linux版本針對的是Vmware esx伺服器，並且也依舊能在Ubuntu、CentOs、Debian等作業系統上正常進行加密。安全團隊成員對Windows版本與linux版本的Blackmatter勒索病毒都進行分析，分析內容如下：

/Windows版本勒索文字/

Win32

BlackMatter2.0版本的編譯時間是在不久之前：

整體流程：

BlackMatter的整體工作呼叫操作如下：

動態載入：

BlackMatter在執行過程中呼叫windows API的方式是動態呼叫的，且需要使用到的Dll是透過遍歷system32目錄來手動載入的：

2.0版本的blackmatter將所有需要的API重定向到了自己的呼叫區段中，獲取地址的方式是透過遍歷Dll的ENT表，透過字串hash比對後，利用匯出索引指標和EAT表計算出函式地址的：

計算出地址以後才為自身呼叫區段佈置opcode，病毒執行的過程中需要呼叫API的時候會進入自身的呼叫區段，由呼叫區段呼叫API，跳轉的方式都為jmp eax，機器碼為0xE0FF：

解密資料：

Blackmatter利用計算機的登錄檔HKLM\SOFTWARE\Microsoft\Cryptography下的MachineGuid的鍵值來base64生成加密字尾：

解密出惡意站點：

加密過程：

BlackMatter為執行加密過程建立了多個分支，分別有對應單引數模式，雙引數模式以及無引數模式，可見BlackMatter的開發團隊為各種不同的攻擊情況都做好了準備：

安全團隊針對無引數模式進行了分析，其執行勒索的流程如下：

病毒會關閉如下服務：

還會關閉可能影響到檔案讀寫的程式：

病毒上傳受害者資訊的時候是單獨建立一個執行緒來完成的，它將會上傳以下資訊到惡意伺服器：

Blackmatter勒索團伙對自己的作品十分自信，曾在網上透露過BlackMatter的加密效率十分高效，透過安全團隊分析，其高效加密可能與其採用多執行緒加密有關。

BlackMatter會根據獲取到的CPU數量來建立相應數量的執行緒：

BlackMatter使用了IO完成埠以及原子鎖來確保非同步IO的邏輯不會發生錯誤，先建立讀寫執行緒來阻塞等待埠中傳來的讀寫請求，然後建立掃描檔案執行緒，在掃描出檔案後會向埠中投遞讀寫請求，然後讀寫執行緒就可以開始進行加密，以這種方式來高效地多執行緒加密磁碟檔案。

加密之後：

在完成加密之後，生成勒索字串：

使用GDI物件將字串繪製成勒索桌面的bmp圖，儲存在C:\\ProgramData目錄下，並透過設定登錄檔中Control Panel\Desktop目錄中Wallpaper鍵的值來改變桌面：

勒索桌面：

Linux

BlackMatter的開發團隊還編寫了以Vmware Esx伺服器為目標的Linux版本。深信服安全團隊對其也進行了分析，得出了此病毒在linux系統上執行並加密檔案的關鍵步驟：

建立Daemon

病毒會透過建立daemon來試圖干擾偵錯程式的工作。

執行esxcli命令：

為了給加密檔案做好準備，病毒會透過系統上的esxcli來執行一系列惡意命令，並將這些惡意命令封裝成了以下的函式：

這些函式將利用esxcli的操作命令完成其代表的功能。

例如:關閉伺服器防火牆的命令：

Network firewall set --enabled false

利用world-id來關閉執行的虛擬機器：

Vm process kill --type=force --world-id=

以及利用vm process list來獲取當前的虛擬機器列表：

生成RSA秘鑰：

勒索病毒的加密方法使用的是開源的CryptoPP庫，把金鑰生成以及加密過程靜態編譯到了病毒檔案中。

掃描檔案：

此勒索病毒在完成RSA秘鑰生成之後就會開始掃描磁碟上的檔案：

這個函式中將會再呼叫一個遞迴函式來掃描磁碟上的檔案：

加密過程：

掃描完成之後病毒會根據CPU資訊為加密過程選擇多執行緒加密或單執行緒加密，並且還會計算需要加密的檔案的總大小，然後呼叫加密函式對檔案進行加密：

在完成對檔案的加密之後會對檔案進行重新命名的操作：

對檔案的加密演算法採用CBC模式的AES加密演算法，以下是生成CryptoPP Chipher::AES的過程。

在完成加密準備之後，病毒會讀取檔案資料，開始進行加密過程，將檔案資料加密之後，再寫回檔案：

勒索文字是在執行的過程中動態生成的：

安全防護

加固建議：

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案：

1.深信服安全感知、下一代防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅：

2.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。