袭击了近百个受害企业的勒索软件——Darkside

2021-05-11   

威胁等级：★★★★★
Darkside勒索软件于2020年8月出现，源于俄罗斯的犯罪团伙“Darkside”，该勒索团伙已经袭击了近百个受害者，该团伙在2021年5月，袭击了美国最大成品油管道运营商Colonial Pipeline公司的工业控制系统。

技术分析

DarkSide勒索初始通过外壳包装程序动态解密代码和数据，下图得到勒索信的内容。

判断程序权限，准备提权操作

通过网卡标识等参数计算随机值，作为被感染主机的唯一标识

前获取磁盘驱动器标，准备遍历驱动器

递归盘符路径

通过遍历回收站路径，清理回收站文件

枚举服务管理器，停止并删除指定服务

Vss sql svc$ memtas mepocs sophos veeam backup

调用powershell删除卷影副本

powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*$_,2))};iex $s"

创建进程快照遍历进程，准备终止指定的进程

sql oracle ocssd dbsnmp synctime agntsvc isqlplussvc xfssvccon mydesktopservice ocautoupds encsvc firefox tbirdconfig mydesktopqos ocomm dbeng50 sqbcoreservice excel infopath msaccess mspub onenote outlook powerpnt steam thebat thunderbird visio winword wordpad notepad

创建两个IO完成端口工作线程，用于文件加密

调用RtlRandomEx生成随机数

Salsa20加密算法的代码片段

源码的rsa代码片段

文件加密排除后缀格式

386 adv ani bat bin cab cmd com cpl cur deskthemepack diagcab diagcfg diagpkg dll drv exe hlp icl icns ico ics idx ldf lnk mod mpa msc msp mssty les msu nls nomedia ocx prf ps1 rom rtp scr shs spl sys theme themepack wpx lock key hta msi pdb

文件加密排除目录

$recycle bin config msi $windows ~bt $windows ~ws windows appdata application data boot google mozilla program files program files (x86) programdata system volume information tor browser windows old intel msocache perflogs x64dbg public all users default

加密文件的后缀修改为唯一标识的随机值

枚举、加密网络资源

勒索信释放到C盘根目录以及被加密的目录下

运行过程中产生LOG文件记录加密的文件