1. 背景与家族溯源1.1 家族概况:跨平台的狩猎者在上一期文章中,我们深入剖析了 BEAST勒索软件(Windows版) 的图形化界面与反取证手段,揭示了其如何利用人性化的GUI降低攻击门槛。然而,作为一个成熟的 RaaS(勒索软件即服务)组织,BEAST 的野心远不止于个人终端,其触角早已伸向了更为核心的服务器领域。【病毒分析】专挑制造业下手!揭秘BEAST图形化勒索软件(Windows版)的加密逻辑与免杀手段Beast 家族(又称 Monster)自 2022 年活跃以来,不断迭代其技术军火库。除了 Windows 版本,该组织还开发了针对 Linux、NAS 以及 VMware ESXi 虚拟化平台的专用加密器,意图对企业的数据中心进行毁灭性打击。值得一提的是,该组织在 2024 年 8 月推出了一个离线构建器(Offline Builder)。这意味着附属黑客无需连接控制台,即可在本地生成针对 Linux/ESXi 的勒索样本,大大降低了攻击门槛并提高了隐蔽性,使得该威胁更具泛滥之势。Beast Offline Builder 界面1.2 攻击偏好与地缘特征与 Windows 版本一致,Linux 版本的 BEAST 同样表现出强烈的地缘政治特征。其样本中硬编码了针对 独联体(CIS)国家 的避让逻辑,一旦检测到受害主机位于俄罗斯、白俄罗斯等国,便会停止运行。其攻击目标主要集中在承载核心业务数据的服务器及虚拟化环境,尤其是制造业和医疗保健行业的数据中心,这些行业对业务连续性要求极高,往往更容易被迫支付赎金。受害者行业统计图Beast 泄露站点界面2. 攻击手法 (TTPs)针对 Linux 和 ESXi 环境,Beast 采用了一套更为直接和暴力的攻击链,旨在最大程度地破坏系统可用性:初始入侵: 利用弱口令爆破 SSH 服务,或利用未修补的组件漏洞(如 WebLogic、Fastjson 等)获取服务器权限,建立初始立足点。环境破坏: 在加密前,利用 ESXi 命令行工具(esxcli)强制终止正在运行的虚拟机进程,确保虚拟磁盘文件(.vmdk)解除占用并被释放,以便顺利进行加密。双重勒索: 窃取服务器敏感数据后,通过高强度加密算法锁定文件,迫使受害者支付赎金。
3. 样本基础信息我们捕获并分析了 BEAST 针对 Linux/ESXi 平台的加密器样本,其基本画像如下:3.1 恶意文件指纹文件名encrypter-linux-esxi-x64.run架构ELF 64-bit (AMD64)文件大小 1,651,832 字节字节序 Little Endian操作系统 Unix (0) [AMD64, 64 位, EXEC]MD55537ad7dc406c473b7fb03c5b5c942fcSHA144859c70f218d58bf2684c26261332dd77759e33SHA256cc9eaeea38a8ed458832adec77283fc67695b4852e77fb00d64f290e6ed922df3.2 感染症状加密完成后,文件将被追加特定的 UUID 后缀。加密后缀: .{uuid}.helper (注:不同于 Windows 版的 .BEASET,Linux 版通常使用 .helper)勒索信: README.TXT
勒索信内容摘要:"YOUR FILES ARE ENCRYPTED... To be sure we have the decryptor and it works you can send an email..."攻击者留下了联系邮箱 helper001@firemail.cc,并警告受害者不要尝试自行恢复,否则可能导致永久性数据丢失。勒索信内容3.3 加密测试我们使用测试文件 sierting.txt 进行模拟加密。原始文件十六进制视图加密后的文件头部和内容均被破坏,且文件末尾被写入了特定的加密标志和元数据。加密后文件十六进制视图4. 逆向分析:拆解 Linux 版执行流程4.1 程序执行流程图样本的执行逻辑清晰明了,主要包含配置解析、环境检查、虚拟机查杀和文件加密四个阶段:程序执行流程图4.2 详细行为分析4.2.1 地区白名单检查 (Region Check)与 Windows 版如出一辙,程序启动后首先检测系统语言环境。代码中维护了一份硬编码的白名单。逻辑: 程序会获取当前的 LANG 环境变量或系统语言设置。如果检测到系统语言属于以下白名单国家代码,程序将直接退出。这是一种典型的“自我保护”机制,以规避特定地区的法律风险。白名单列表: AM (亚美尼亚), AZ (阿塞拜疆), BY (白俄罗斯), CY (塞浦路斯), GE (格鲁吉亚), KZ (哈萨克斯坦), KG (吉尔吉斯斯坦), MD (摩尔多瓦), RU (俄罗斯), TJ (塔吉克斯坦), TM (土库曼斯坦), UA (乌克兰), UZ (乌兹别克斯坦), VN (越南)。 地区判断代码视图4.2.2 配置数据解密与解析样本内部存储了加密的配置数据,运行后使用 ChaCha20 算法配合硬编码的密钥(Key)和随机数(Nonce)进行解密。ChaCha20解密配置代码视图使用chacha20算法,硬编码的密钥解密配置数据.Key:Nonce:解密后的配置结构体包含了加密百分比、后缀名、勒索信内容等关键信息。配置文件结构示意图随后,程序会解析命令行参数,支持多种运行模式,赋予攻击者极大的灵活性:-a, --auto: 自动处理 ESXi 虚拟机(核心功能,自动终止 VM 进程并加密)-d, --daemon: 以守护进程方式后台运行-h: 延时启动(小时)-m: 延时启动(分钟)-s: 延时启动(秒)-l, --log: 输出日志文件-p: 指定加密百分比-e: 自定义后缀名-x: 自定义勒索信文件名-c: 加密后是否修改文件名-w: 是否写入勒索信命令行参数解析代码片段视图程序还会根据配置判断是否读取自定义的勒索信内容并拷贝至内存中。读取自定义勒索信代码视图4.2.3 单例运行锁为了防止重复运行导致系统资源耗尽或加密冲突,样本会在 /tmp/ 目录下创建锁文件 beast.lock。操作: 检查 /tmp/beast.lock 是否存在,如果存在则表明已有实例在运行,程序退出。对抗点: 如果使用了 -d (daemon) 模式,样本在退出时会删除该锁文件,实现自我清理。 单例锁检查代码视图4.2.4 ESXi 虚拟机查杀 (Kill VM Processes)这是该样本针对虚拟化环境最致命的一击。为了能够加密正在运行的虚拟机磁盘文件(.vmdk、.vswp),病毒必须先停止这些虚拟机,解除文件占用。遍历与终止: 程序会调用 esxcli vm process list 命令获取当前所有运行中的虚拟机的 World ID。随后,它会循环调用 esxcli vm process kill -t hard -w {WorldID},强制关闭每一个虚拟机进程。 处理本地虚拟机文件入口代码视图ESXi 虚拟机查杀循环代码修改配置: 除了终止进程,它还会修改虚拟机的配置文件
...(已截断)
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-289216.htm
[原创]【病毒分析】虚拟化平台的噩梦!揭秘BEAST勒索软件(Linux/ESXi版)的加密机制与对抗策略
261 浏览
0 回复
暂无回复,快来抢沙发吧!