背景介紹

近期Babuk勒索軟體的完整原始碼被洩露，據洩露原始碼的駭客自稱是想要改過自新，但是這一公開原始碼的舉動反而拉低了其他潛在犯罪團伙製作勒索軟體的成本，後續是否會因此湧現更多的勒索軟體不得而知。

Babuk勒索最早曝光於2021年初，讓他們“一躍成名”的是在今年的4月份攻擊了華盛頓大都會警察局，威脅不提交贖金將公開警方線人和其他敏感資料，並持續瞄準FBI、CSA等部門。但他們也並不是只針對執法機構，此前已攻擊了多家大型企業和組織，如包括西班牙連鎖手機零售商PhoneHouse和NBA休斯頓火箭隊，一度成為2021年最活躍的勒索家族之一。

/圖源於網路：Babuk公開的華盛頓大都會警察局被竊取的資料檔案/

Babuk勒索軟體特點

深信服終端安全團隊長期跟蹤全球範圍內的高階威脅，在海外攻擊場景中捕獲最新的Babuk勒索樣本，在對該勒索軟體進一步分析後，發現Babuk勒索軟體除了會跟其他勒索家族一樣加密檔案外，還會竊取被攻擊目標的資料，以威脅受害者支付贖金。

相比於其他勒索團伙，Babuk的使用了更加多樣的攻擊手法，包括：

1、利用APT攻擊中常見的“白加黑”手段繞過靜態檢測；

2、使用自動化安裝指令碼批次投放，替代手動投放執行勒索；

3、運維不同平臺的勒索病毒程式碼，具有針對Linux系統的勒索功能。

同時，該團伙的攻擊過程非常有耐心，潛伏時間相當長，可能達到兩個月以上，因此在實施最後的攻擊後往往會對受害者造成相當大的影響，目前深信服終端檢測平臺EDR已支援該勒索病毒的防護查殺。

入侵手法：

C2連線工具

C2連線工具由三個檔案構成：

其中GoogleUpdate.exe是帶有Google數字簽名的可執行程式，GoogleUpdate執行過程會載入goopdate.dll檔案；

而goopdate.dll則是被劫持的shellcode載入器，讀取thumb.db中的shellcode並解碼執行；

安全專家對透過除錯發現C2伺服器地址為 103.79.77.242/Inform/registration/Q0FNEMDCNR9 ，但該地址目前已無法連線。

GoogleUpdate.exe+goopdate.dll屬於利用白檔案載入惡意程式以躲避防毒軟體檢測的操作，可以從網上搜尋到諸多案例。（注：海蓮花APT也用過同樣的手法）

勒索批次安裝指令碼

安全專家還發現一組勒索軟體批次安裝指令碼，有下面三個檔案：

e.txt中儲存的是被勒索的主機IP地址

e.bat呼叫了e.vbs實現批次遠端執行命令：

e.vbs的功能列表如下：

e.vbs的指令碼內容比較簡單，首先使用net use 連線目標主機；

然後遠端執行命令；

值得注意的是，該指令碼還會將受害主機中的 C:/Windows/Temp 目錄共享出去，方便傳輸檔案等操作。

樣本分析

Windows:

程式首先執行勒索加密前準備，包括：

1、停止相關服務

2、結束相關程式

3、刪除卷影副本

4、清空回收站

Babuk勒索軟體首先停止如下服務以保障加密順利進行：

vss、sql、svc$、memtas、mepocs、sophos、veeam、backup、GxVss、GxBlr、GxFWD、GxCVD、GxCIMgr、DefWatch、ccEvtMgr、ccSetMgr、SavRoam、RTVscan、QBFCService、QBIDPService、Intuit、QuickBooks、FCS、QBCFMonitorService、YooBackup、YooIT、zhudongfangyu、sophos、stc_raw_agent、VSNAPVSS、VeeamTransportSvc、VeeamDeploymentService、VeeamNFSSvc、veeam、PDVFSService、BackupExecVSSProvider、BackupExecAgentAccelerator、BackupExecAgentBrowser、BackupExecDiveciMediaService、BackupExecJobEngine、BackupExecManagementService、BackupExecRPCService、AcrSch2Svc、AcronisAgent、CASAD2DWebSvc、CAARCUpdateSvc

結束如下程式，避免資料檔案被佔用而無法加密：

sql.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefox.exe、tbirdconfig.exe、mydesktopqos.exe、ocomm.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、notepad.exe

刪除卷影副本：

獲取系統資訊，然後根據處理器數量建立對應數量的加密執行緒：

跳過如下檔案及資料夾：

AppData、Boot、Windows、Windows.old、Tor Browser、Internet Explorer、Google、Opera、Opera Software、Mozilla、Mozilla Firefox、$Recycle.Bin、ProgramData、All Users、autorun.inf、boot.ini、bootfont.bin、bootsect.bak、bootmgr、bootmgr.efi、bootmgfw.efi、desktop.ini、iconcache.db、ntldr、ntuser.dat、ntuser.dat.log、ntuser.ini、thumbs.db、Program Files、Program Files (x86)、#recycle、..、.

跳過".exe"、".dll"、".babyk"字尾的檔案：

將檔案加上“.babyk”字尾後對其進行加密，加密演算法採用了ECDH128：

為了避免檔案因被程式佔用而無法加密，除了結束特定程式及服務外，Babuk還使用了Windows Restart Manager。Windows Restart Manager允許除關鍵系統服務外的所有程式或服務關閉和重啟，從而可以減少或避免程式安裝或者更新過程中需要重啟的次數，Babuk利用其使檔案可以被順利加密。

寫入勒索資訊：

Linux:

Linux版需要需要加上引數指定加密路徑，加密結束後會輸出不加密的檔案、加密的檔案、跳過的檔案以及所有檔案的數量和加密檔案的資料量：

對".log"、".vmdk"、".vmem"、".vswp"、".vmsn"字尾檔案進行加密：

加密檔案後加上".babyk"字尾，加密演算法為ECDH+Sosemanuk：

勒索資訊與windows版相同：

日常加固

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案

1. 深信服安全感知管理平臺SIP、下一代防火牆AF、終端響應檢測平臺EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

2.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。