تحليل فني شامل لبرنامج BlackCat ransomware، الذي تسبب في دمار المؤسسات في جميع أنحاء العالم. ALPHV، المعروفة أيضًا باسم BlackCat، هي عائلة برامج الفدية التي شوهدت لأول مرة في أواخر عام 2021 وتستهدف العديد من الشركات عبر الصناعات.
في السنوات الأخيرة، أصبحت هجمات برامج الفدية شائعة بشكل متزايد، مع اكتشاف سلالات جديدة طوال الوقت. إحدى هذه السلالات هي BlackCat ransomware، التي تسبب فسادًا للمنظمات في جميع أنحاء العالم. ALPHV، المعروفة أيضًا باسم BlackCat، هي عائلة برامج الفدية التي شوهدت لأول مرة في أواخر عام 2021 وتستهدف العديد من الشركات عبر الصناعات. يُنظر إلى مشغلي برامج الفدية وهم يستخدمون تقنيات الابتزاز المزدوج، والتي لا تتضمن تشفير النظام فحسب، بل أيضًا سرقة الملفات الحساسة من ضحاياهم. وبحسب ما ورد، يتم استخدام أداة أخرى مع برنامج الفدية لسرقة البيانات.
تتم كتابة BlackCat ransomware بلغة Rust وتأتي في شكل أداة سطر أوامر يمكن تشغيلها بحجج مختلفة. إنه قادر على قتل العديد من العمليات والخدمات. تتمثل إحدى ميزاته الرئيسية في قدرته على تصعيد الامتيازات وتجاوز التحكم في حساب المستخدم (UAC). تستخدم هذه البرامج الضارة المتطورة إما تشفير AES أو ChaCha20 (اعتمادًا على تكوينها) لتشفير جميع الملفات الموجودة على نظام الضحية. بالإضافة إلى ذلك، تتمتع بقدرات التهرب من وضع الحماية، مما يجعل من الصعب تحليل العينة. تتطلب برامج الفدية تشغيل الحجج، مما يجعل من المستحيل تحليلها بواسطة وضع الحماية. في هذه المدونة، سنلقي نظرة فاحصة على خصائص وتقنيات برنامج الفدية هذا الذي كتبه Rust.
نظرة عامة على الحملة التاريخية
لقد لوحظ أن المهاجمين الذين يستخدمون برنامج الفدية BlackCat يستخدمون أيضًا أداة سرقة .NET تسمى ExMatter، والتي طورتها نفس مجموعة APT، من أجل تنزيل الملفات من جهاز الضحية. وهذا ما يجعل هذا الهجوم أكثر قوة لأن هذا يمنح المهاجمين النفوذ لاستخدام تقنية تعرف باسم الابتزاز المزدوج، والتي تنطوي على ضغط إضافي يتمثل في تسريب ملفات مسروقة ربما تحتوي على بيانات حساسة. (راجع الملحقلقاعدة YARA التي تساعد في صيد BlackCat.)
التحليل الفني
يأتي ثنائي BlackCat في شكل أداة سطر أوامر يمكن تشغيلها باستخدام وسيطات مختلفة. على سبيل المثال:
باستخدام — مطول، سيتم عرض السجلات التي تم إنشاؤها بواسطة BlackCat على وحدة التحكم.
ال —واجهة المستخدميعرض الخيار عرضًا يشبه واجهة المستخدم الرسومية في النافذة الطرفية، يُظهر التقدم والمعلومات المتعلقة بالملفات التي يتم تشفيرها على النظام.
لقطة شاشة تشبه واجهة المستخدم الرسومية المعروضة عند استخدام خيار واجهة المستخدم
من بين هذه الحجج، هناك واحدة منها فقط ضرورية لتنفيذ الثنائية، وهي رمز الوصول حجة.
قائمة الحجج التي يمكن استخدامها أثناء تشغيل الملف الثنائي
عمليات ما قبل التشفير
كما ذكرنا سابقًا، لن يتم تشغيل الملف الثنائي إلا إذا تم تزويده برمز وصول طويل مكون من 32 حرفًا. وهي تستخدم احصل على سطر الأوامر الجديد API للتحقق مما إذا كان رمز الوصول متوفرًا بشكل صحيح.
استخدام GetCommandLineW للتحقق مما إذا كان رمز الوصول متوفرًا بشكل صحيح
اعتمادًا على إصدار Ransomware، يمكن أن يكون هذا الرمز إما عشوائيًا (كما هو الحال في هذه العينة)، أو كما هو موضح في أحدث الإصدارات، فإن رمز الوصول هذا عبارة عن مفتاح مكون من 32 حرفًا يُستخدم لتشفير تكوين Ransomware المضمن في البرنامج الثنائي. تقوم أحدث الإصدارات بذلك من أجل منع الباحثين الأمنيين من استخراج التكوين.يعمل هذا أيضًا كإجراء لمكافحة وضع الحماية، نظرًا لأن أدوات التحليل الآلي لن تكون قادرة على تنفيذ العينة ما لم يتم تكوينها لتوفير رمز الوصول.
مذكرة الفدية
بمجرد توفير رمز الوصول إلى البرنامج الثنائي، يستمر برنامج الفدية عن طريق فك تشفير مذكرة الفدية المضمنة في البرنامج الثنائي وتخزينها لاستخدامها لاحقًا. يقوم أيضًا بتعيين مذكرة الفدية كخلفية لسطح المكتب.
مذكرة فدية تم فك تشفيرها مخزنة لاستخدامها لاحقًا
بعد ذلك، تعد Ransomware نفسها لتصعيد الامتيازات عن طريق إنشاء سلسلة رسائل جديدة باستخدام إنشاء موضوع API.
تصعيد الامتيازات وتجاوز UAC
يقوم برنامج الفدية BlackCat بإجراء تجاوز UAC عن طريق إساءة استخدام Microsoft COM (نموذج كائن المكون). يتضمن هذا الهجوم استخدام كائنات COM لثنائي يُعرف باسم Microsoft CMSTP (مثبت ملف تعريف مدير الاتصال)، وخاصة CMSTPLUA واجهة {3E5FC7F9-9A51-4367-9063-A120244 FBEC7}.
يستخدم برنامج الفدية كائن كوجيت لتسجيل نفسها في CLSID {3E5FC7F9-9A51-4367-9063-A120244 FBEC7}، والتي يتم استخدامها بشكل شرعي لتنفيذ التطبيقات ذات الامتيازات المرتفعة. تسمح هذه التقنية بتجاوز موجه UAC وتنفيذ إجراءاتها الضارة دون أن يتم اكتشافها أو حظرها من خلال الإجراءات الأمنية للنظام.
استخدام CogetObject لتسجيل نفسه مع {3E5FC7F9-9A51-4367-9063-A120244FBEC7} من أجل الحصول على امتيازات عالية
بمجرد أن يرفع برنامج الفدية الامتيازات، فإنه يتم تنفيذه داخل الموضوع الذي تم إنشاؤه حديثًا وينقل حججه إلى الأمام من مثيله السابق.
تقوم BlackCat بتنفيذ نفسها داخل الخيط الجديد بامتيازات مرتفعة باستخدام نفس الحجج كما كان من قبل.
بعد ذلك، تستخدم BlackCat ابحث عن قيمة الامتياز API من أجل البحث عن معرفات محلية لقائمة الامتيازات. تعمل كل من هذه الامتيازات على تمكين العملية الجارية من تشغيل العمليات على مستوى النظام. (راجع الملحق للحصول على قائمة كاملة ووصف لكل امتياز). ثم يستخدم الثنائي ضبط حواف الرمز المميز لكي تمنح نفسها تلك الامتيازات.
قائمة الامتيازات التي تسعى إليها BlackCat
استخدام LookupPrivilegeValueView وضبط الامتيازات الرمزية من أجل منح نفسها امتيازات
أخيرًا، تنهي BlackCat تحضيرها للتشفير من خلال القيام بما يلي:
حذف جميع النسخ الاحتياطية لوحدة التخزين باستخدام vssadmin و wMIC الأوامر، مما يجعل استعادة البيانات أكثر صعوبة.
تعطيل الإصلاح التلقائي باستخدام bcdedit، من أجل منع استعادة الملفات المتعلقة بالنظام.
مسح سجلات الأحداث.
إنهاء جميع الخدمات والعمليات النشطة.
ملاحظة: يحتوي BlackCat على تكوينه المضمن داخل نفسه ويقوم بفك تشفيره في وقت التشغيل. يحتوي التكوين على معلومات حول المفتاح العام الذي سيتم استخدامه لتشفير المفتاح، وأي خدمات محددة لإنهائها، وقائمة الاستثناءات، وما إلى ذلك.
لقطة شاشة تعرض تكوين BlackCat
تشفير البيانات
تستخدم عينة BlackCat المستخدمة في هذا التحليل AES للتشفير. الخطوات المتبعة في التشفير هي كما يلي:
يجتاز BlackCat النظام أولاً باستخدام حلقة من ابحث عن الملف الأول و ابحث عن الملف التالي من أجل العثور على جميع الملفات الموجودة على النظام.
تتم كتابة مذكرة الفدية إلى كل دليل باستخدام اكتب ملف.
لقطة شاشة لـ مذكرة الفدية التي تركتها BlackCat
استخدام BcryptgenRandom، يقوم برنامج الفدية بحساب مفتاح AES عشوائي.
يتم إنشاء كتلة JSON لكل ملف، والتي تحتوي على مفتاح AES المستخدم لتشفير الملف، ومعلومات حول الملف.
كتلة JSON تحتوي على معلومات حول المفتاح والملف
يتم تشفير مفتاح AES أيضًا باستخدام المفتاح العام RSA المخزن في تكوين BlackCat.
يتم تشفير الملف باستخدام AES، وتتم كتابة المحتويات إلى الملف باستخدام اقرأ الملف و اكتب ملف. تم ذكر الامتداد الجديد للملف في تكوين BlackCat.
استخدام AES لتشفير الملف
عمليات ما بعد التشفير
بمجرد أن ينتهي BlackCat من تشفير جميع الملفات الموجودة على النظام، يتم تغيير خلفية سطح المكتب، مما يوجه المستخدم إلى الرجوع إلى مذكرة الفدية.
خلفية سطح المكتب المتغيرة
ال عنوان URL الخاص بـ.onion المحدد في مذكرة الفدية فريد لكل ضحية، حيث تستخدم كل عينة رمز وصول مختلفًا، يتم توفيره لعنوان URL كمعامل. يحتوي عنوان URL الخاص بالبصل على معلومات حول الملفات المشفرة/المسروقة وإرشادات حول كيفية دفع الفدية.
وقد أنشأ فريق TRIAD التابع لشركة CloudSek هذا التقرير استنادًا إلى تحليل الاتجاه المتزايد لتزوير العملات المشفرة، حيث تنتحل التوكنات شخصية المنظمات الحكومية لتوفير بعض الشرعية لعمليات الاحتيال التي تقوم بها «لسحب البساط». تمت تغطية مثال على عملية الاحتيال هذه في هذا التقرير حيث قامت الجهات الفاعلة في مجال التهديد بإنشاء رمز مزيف يسمى «BRICS». يهدف هذا الرمز إلى استغلال التركيز على قمة البريك التي عقدت في قازان، روسيا، والاهتمام المتزايد بالاستثمارات والتوسع في منظمة بريركس الحكومية التي تضم دولًا مختلفة (البرازيل وروسيا والهند والصين وجنوب إفريقيا ومصر وإثيوبيا وإيران والإمارات العربية المتحدة)
كشف فريق استخبارات التهديدات في CloudSek مؤخرًا عن برنامج تعليمي شامل حول تجاوز التحقق من الصور الذاتية في منتدى الجرائم الإلكترونية الناطق باللغة الروسية.
تحليل فني شامل لبرنامج BlackCat ransomware، الذي تسبب في دمار المؤسسات في جميع أنحاء العالم. ALPHV، المعروفة أيضًا باسم BlackCat، هي عائلة برامج الفدية التي شوهدت لأول مرة في أواخر عام 2021 وتستهدف العديد من الشركات عبر الصناعات.
Get the latest industry news, threats and resources.
في السنوات الأخيرة، أصبحت هجمات برامج الفدية شائعة بشكل متزايد، مع اكتشاف سلالات جديدة طوال الوقت. إحدى هذه السلالات هي BlackCat ransomware، التي تسبب فسادًا للمنظمات في جميع أنحاء العالم. ALPHV، المعروفة أيضًا باسم BlackCat، هي عائلة برامج الفدية التي شوهدت لأول مرة في أواخر عام 2021 وتستهدف العديد من الشركات عبر الصناعات. يُنظر إلى مشغلي برامج الفدية وهم يستخدمون تقنيات الابتزاز المزدوج، والتي لا تتضمن تشفير النظام فحسب، بل أيضًا سرقة الملفات الحساسة من ضحاياهم. وبحسب ما ورد، يتم استخدام أداة أخرى مع برنامج الفدية لسرقة البيانات.
تتم كتابة BlackCat ransomware بلغة Rust وتأتي في شكل أداة سطر أوامر يمكن تشغيلها بحجج مختلفة. إنه قادر على قتل العديد من العمليات والخدمات. تتمثل إحدى ميزاته الرئيسية في قدرته على تصعيد الامتيازات وتجاوز التحكم في حساب المستخدم (UAC). تستخدم هذه البرامج الضارة المتطورة إما تشفير AES أو ChaCha20 (اعتمادًا على تكوينها) لتشفير جميع الملفات الموجودة على نظام الضحية. بالإضافة إلى ذلك، تتمتع بقدرات التهرب من وضع الحماية، مما يجعل من الصعب تحليل العينة. تتطلب برامج الفدية تشغيل الحجج، مما يجعل من المستحيل تحليلها بواسطة وضع الحماية. في هذه المدونة، سنلقي نظرة فاحصة على خصائص وتقنيات برنامج الفدية هذا الذي كتبه Rust.
نظرة عامة على الحملة التاريخية
لقد لوحظ أن المهاجمين الذين يستخدمون برنامج الفدية BlackCat يستخدمون أيضًا أداة سرقة .NET تسمى ExMatter، والتي طورتها نفس مجموعة APT، من أجل تنزيل الملفات من جهاز الضحية. وهذا ما يجعل هذا الهجوم أكثر قوة لأن هذا يمنح المهاجمين النفوذ لاستخدام تقنية تعرف باسم الابتزاز المزدوج، والتي تنطوي على ضغط إضافي يتمثل في تسريب ملفات مسروقة ربما تحتوي على بيانات حساسة. (راجع الملحقلقاعدة YARA التي تساعد في صيد BlackCat.)
التحليل الفني
يأتي ثنائي BlackCat في شكل أداة سطر أوامر يمكن تشغيلها باستخدام وسيطات مختلفة. على سبيل المثال:
باستخدام — مطول، سيتم عرض السجلات التي تم إنشاؤها بواسطة BlackCat على وحدة التحكم.
ال —واجهة المستخدميعرض الخيار عرضًا يشبه واجهة المستخدم الرسومية في النافذة الطرفية، يُظهر التقدم والمعلومات المتعلقة بالملفات التي يتم تشفيرها على النظام.
لقطة شاشة تشبه واجهة المستخدم الرسومية المعروضة عند استخدام خيار واجهة المستخدم
من بين هذه الحجج، هناك واحدة منها فقط ضرورية لتنفيذ الثنائية، وهي رمز الوصول حجة.
قائمة الحجج التي يمكن استخدامها أثناء تشغيل الملف الثنائي
عمليات ما قبل التشفير
كما ذكرنا سابقًا، لن يتم تشغيل الملف الثنائي إلا إذا تم تزويده برمز وصول طويل مكون من 32 حرفًا. وهي تستخدم احصل على سطر الأوامر الجديد API للتحقق مما إذا كان رمز الوصول متوفرًا بشكل صحيح.
استخدام GetCommandLineW للتحقق مما إذا كان رمز الوصول متوفرًا بشكل صحيح
اعتمادًا على إصدار Ransomware، يمكن أن يكون هذا الرمز إما عشوائيًا (كما هو الحال في هذه العينة)، أو كما هو موضح في أحدث الإصدارات، فإن رمز الوصول هذا عبارة عن مفتاح مكون من 32 حرفًا يُستخدم لتشفير تكوين Ransomware المضمن في البرنامج الثنائي. تقوم أحدث الإصدارات بذلك من أجل منع الباحثين الأمنيين من استخراج التكوين.يعمل هذا أيضًا كإجراء لمكافحة وضع الحماية، نظرًا لأن أدوات التحليل الآلي لن تكون قادرة على تنفيذ العينة ما لم يتم تكوينها لتوفير رمز الوصول.
مذكرة الفدية
بمجرد توفير رمز الوصول إلى البرنامج الثنائي، يستمر برنامج الفدية عن طريق فك تشفير مذكرة الفدية المضمنة في البرنامج الثنائي وتخزينها لاستخدامها لاحقًا. يقوم أيضًا بتعيين مذكرة الفدية كخلفية لسطح المكتب.
مذكرة فدية تم فك تشفيرها مخزنة لاستخدامها لاحقًا
بعد ذلك، تعد Ransomware نفسها لتصعيد الامتيازات عن طريق إنشاء سلسلة رسائل جديدة باستخدام إنشاء موضوع API.
تصعيد الامتيازات وتجاوز UAC
يقوم برنامج الفدية BlackCat بإجراء تجاوز UAC عن طريق إساءة استخدام Microsoft COM (نموذج كائن المكون). يتضمن هذا الهجوم استخدام كائنات COM لثنائي يُعرف باسم Microsoft CMSTP (مثبت ملف تعريف مدير الاتصال)، وخاصة CMSTPLUA واجهة {3E5FC7F9-9A51-4367-9063-A120244 FBEC7}.
يستخدم برنامج الفدية كائن كوجيت لتسجيل نفسها في CLSID {3E5FC7F9-9A51-4367-9063-A120244 FBEC7}، والتي يتم استخدامها بشكل شرعي لتنفيذ التطبيقات ذات الامتيازات المرتفعة. تسمح هذه التقنية بتجاوز موجه UAC وتنفيذ إجراءاتها الضارة دون أن يتم اكتشافها أو حظرها من خلال الإجراءات الأمنية للنظام.
استخدام CogetObject لتسجيل نفسه مع {3E5FC7F9-9A51-4367-9063-A120244FBEC7} من أجل الحصول على امتيازات عالية
بمجرد أن يرفع برنامج الفدية الامتيازات، فإنه يتم تنفيذه داخل الموضوع الذي تم إنشاؤه حديثًا وينقل حججه إلى الأمام من مثيله السابق.
تقوم BlackCat بتنفيذ نفسها داخل الخيط الجديد بامتيازات مرتفعة باستخدام نفس الحجج كما كان من قبل.
بعد ذلك، تستخدم BlackCat ابحث عن قيمة الامتياز API من أجل البحث عن معرفات محلية لقائمة الامتيازات. تعمل كل من هذه الامتيازات على تمكين العملية الجارية من تشغيل العمليات على مستوى النظام. (راجع الملحق للحصول على قائمة كاملة ووصف لكل امتياز). ثم يستخدم الثنائي ضبط حواف الرمز المميز لكي تمنح نفسها تلك الامتيازات.
قائمة الامتيازات التي تسعى إليها BlackCat
استخدام LookupPrivilegeValueView وضبط الامتيازات الرمزية من أجل منح نفسها امتيازات
أخيرًا، تنهي BlackCat تحضيرها للتشفير من خلال القيام بما يلي:
حذف جميع النسخ الاحتياطية لوحدة التخزين باستخدام vssadmin و wMIC الأوامر، مما يجعل استعادة البيانات أكثر صعوبة.
تعطيل الإصلاح التلقائي باستخدام bcdedit، من أجل منع استعادة الملفات المتعلقة بالنظام.
مسح سجلات الأحداث.
إنهاء جميع الخدمات والعمليات النشطة.
ملاحظة: يحتوي BlackCat على تكوينه المضمن داخل نفسه ويقوم بفك تشفيره في وقت التشغيل. يحتوي التكوين على معلومات حول المفتاح العام الذي سيتم استخدامه لتشفير المفتاح، وأي خدمات محددة لإنهائها، وقائمة الاستثناءات، وما إلى ذلك.
لقطة شاشة تعرض تكوين BlackCat
تشفير البيانات
تستخدم عينة BlackCat المستخدمة في هذا التحليل AES للتشفير. الخطوات المتبعة في التشفير هي كما يلي:
يجتاز BlackCat النظام أولاً باستخدام حلقة من ابحث عن الملف الأول و ابحث عن الملف التالي من أجل العثور على جميع الملفات الموجودة على النظام.
تتم كتابة مذكرة الفدية إلى كل دليل باستخدام اكتب ملف.
لقطة شاشة لـ مذكرة الفدية التي تركتها BlackCat
استخدام BcryptgenRandom، يقوم برنامج الفدية بحساب مفتاح AES عشوائي.
يتم إنشاء كتلة JSON لكل ملف، والتي تحتوي على مفتاح AES المستخدم لتشفير الملف، ومعلومات حول الملف.
كتلة JSON تحتوي على معلومات حول المفتاح والملف
يتم تشفير مفتاح AES أيضًا باستخدام المفتاح العام RSA المخزن في تكوين BlackCat.
يتم تشفير الملف باستخدام AES، وتتم كتابة المحتويات إلى الملف باستخدام اقرأ الملف و اكتب ملف. تم ذكر الامتداد الجديد للملف في تكوين BlackCat.
استخدام AES لتشفير الملف
عمليات ما بعد التشفير
بمجرد أن ينتهي BlackCat من تشفير جميع الملفات الموجودة على النظام، يتم تغيير خلفية سطح المكتب، مما يوجه المستخدم إلى الرجوع إلى مذكرة الفدية.
خلفية سطح المكتب المتغيرة
ال عنوان URL الخاص بـ.onion المحدد في مذكرة الفدية فريد لكل ضحية، حيث تستخدم كل عينة رمز وصول مختلفًا، يتم توفيره لعنوان URL كمعامل. يحتوي عنوان URL الخاص بالبصل على معلومات حول الملفات المشفرة/المسروقة وإرشادات حول كيفية دفع الفدية.