021年3月，微軟Exchange漏洞利用事件被公布報道，Exchange Server中的四個0day漏洞被超過10個APT黑客組織盯上，同時安全廠商發現了近7,000個經由Exchange漏洞植入的webshell，用于攻擊者的后續惡意操作，這其中就包括DearCry勒索軟件。雖然Microsoft Defender 已經自動更新定義檔，可在偵測到DearCry時加以封鎖，但只要Microsoft還沒修補好本月初披露的ProxyLogon漏洞，就還會有其他勒索軟件上門。

[[390195]]

3月18日以來，研究人員發現有黑客團伙開始使用Black KingDom勒索軟件來針對易受攻擊的Exchange服務器，這款勒索軟件并不復雜，其組成甚至顯得有些初級和業余，但仍可能造成很大的損害。它可能與去年運行于易受攻擊的Pulse Secure VPN集中器軟件的同名勒索軟件有關。

Web Shell交付

Black KingDom的交付是通過遠程服務器進行編排的，該遠程服務器的IP地址定位到德國的185.220.101.204，而攻擊者的運行地址是185.220.101.216，由于兩個IP地址都屬于Tor出口節點，因此無法知道攻擊者的實際位置。

攻擊者利用的是Microsoft Exchange Server本地部署版本的遠程代碼執行(RCE)漏洞，也稱為ProxyLogon(CVE-2021-27065)。

成功突破Exchange服務器后，攻擊者通過webshell對服務器的遠程訪問，進而執行任意命令。

Webshell ChackLogsPL.aspx植入位置：

我們觀察到的其他Webshell文件名還有ckPassPL.aspx和hackIdIO.aspx。

Webshell是由w3wp.exe寫入磁盤的，w3wp.exe是承載Exchange管理中心(EAC)的Internet信息服務器(IIS)輔助進程，Microsoft將其內部名稱命名為ECP(Exchange控制面板)：

勒索軟件的執行和行為

部署完Webshell之后，攻擊者通過發出PowerShell命令來發起攻擊(由于大小限制，此處未完整顯示)：

解碼為以下腳本(已修改以提高可讀性)：

腳本從此處下載勒索軟件有效負載：hxxp://yuuuuu44[.]com/vpn-service/$(f1)/crunchyroll-vpn

$(f1)部分由函數f1生成，該函數生成一個由15個字母字符組成的隨機字符串，因此實際網址看起來像這樣：hxxp://yuuuuu44[.]com/vpn-service/ ojkgrctxslnbazd /crunchyroll-vpn

(截止本文發表，yuuuu44域會將訪問者重定向到NASA.GOV)

攻擊者將勒索軟件有效負載存儲在 \\[ComputerName]\c$\Windows\system32\ 文件夾中，有效負載文件名同樣由f1函數隨機生成，例如：C:\Windows\System32\ojkgrctxslnbazd.exe

腳本通過WMI(Windows管理界面)調用Win32_Process來執行勒索軟件，腳本還有將勒索軟件上載到網絡上的其他計算機并執行的功能。

影響

勒索軟件二進制文件基于Python腳本，通過PyInstaller編譯為可執行文件。我們將二進制文件反編譯回其原始源代碼，創建者將源代碼命名為0xfff.py，其中的“ fff”代表十進制數4095的十六進制值，所代表的意義未知。

勒索軟件具有一個內置的文件夾名稱列表，內容沒有被加密：

勒索軟件試圖使用服務名稱中的SQL來停止計算機上運行的數據庫服務，大概也可以對它們進行加密：

加密密鑰是使用以下代碼生成的：

gen_string函數調用生成一個長度為64個字符的隨機字符串，腳本使用MD5對該值進行散列，之后轉換為十六進制字符，將其用作加密密鑰。

同時還生成gen_id，這是勒索軟件嵌入到贖金票據中的受害者標識符。然后將密鑰和gen_id上傳到mega.io帳戶，如果勒索軟件由于某種原因無法將此隨機生成的加密密鑰上傳到Mega，則其回退形式為硬編碼的靜態密鑰：

文件加密功能的文件系統行為很簡單：讀取(原始)>覆蓋(加密)>重命名：

各文件代表功能如下：

對已加密文件進行重命名的代碼：選擇一個4到7個字節之間的隨機字符串，并將其附加到文件名中，因此其后綴不再映射到應有的應用程序：

我們的密碼保護系統捕獲了勒索軟件試圖加密的數據，原始遙測顯示了通過WMI執行的勒索軟件二進制文件，如下(從3到1反向讀取Process Trace序列)：

為了進一步復雜化并阻礙事件響應，勒索軟件刪除了Windows事件日志：

一旦對系統進行加密(或工作20分鐘后)，勒索軟件就會運行子例程，禁用鼠標和鍵盤，并在桌面上打開全屏窗口。

生成屏窗口如下，帶有倒數計時器：

除加密數據外，贖金票據還存儲在一個名為crypto_file.TxT的文件中：

根據BitRef，攻擊者的加密貨幣錢包目前接收的交易概況如下，可能至少有一名受害者已經支付了贖金：

本文翻譯自：https://news.sophos.com/en-us/2021/03/23/black-kingdom/