【勒索防护】Cactus勒索病毒：加密自身，逃避杀软检测！

恶意文件家族：

Cactus

威胁类型：

勒索病毒

简单描述：

该勒索病毒通过VPN设备的已知的漏洞获得初始访问，与其他勒索软件不同的是，攻击者使用批处理脚本利用7-Zip执行勒索样本，此外它会加密自身以逃避检测。

恶意文件分析

事件描述

深信服深盾终端实验室在近期的运营工作中，捕获了Cactus家族的勒索样本，该家族至少从今年3月就已经开始活跃。它通过Fortinet VPN设备的漏洞获得初始访问权限，其中一次攻击事件的攻击流程大致如下：

1、首先通过VPN设备的漏洞获得初始访问权限；然后立即使用计划任务创建SSH后门实现持久化。

2、使用SoftPerfect 网络扫描程序 (netscan)识别整个环境中的主机，使用ping查询主机是否存活。

3、使用powershell命令查询域中计算机的IP地址、用户信息和安全事件日志，并将结果分别保存文件中。

4、使用 Splashtop 或 AnyDesk 获取对目标计算机的访问权限。

5、使用 SuperOps RMM 管理和监控多个目标计算机。

6、使用 Cobalt Strike 模拟攻击并测试目标系统的安全性。

7、使用 Chisel 建立加密的通信通道。

8、从用户 Web 浏览器和LSASS转储凭据。

9、使用 Rclone 从环境中的文件共享服务器中将敏感数据发送到Mega.io服务器上。

10、使用PsExec将勒索文件投放到所有能访问的主机中。

恶意事件分析

ATT&CK

TA阶段	T技术	S技术	动作
TA0001 初始访问	T1190 利用面向公众的应用程序	N/A	利用Fortinet VPN设备中已知的漏洞获得初始访问权限
TA0002 执行	T1059 命令和脚本解释器	T1059.003 Windows Command Shell	使用一系列Windows命令，如ping等
	T1059 命令和脚本解释器	T1059.001 Powershell	使用powershell脚本收集内网信息
	T1053 计划任务/工作	T1053.005 计划任务	通过计划任务执行勒索软件
	T1106 原生API	N/A	使用多个系统API 函数如GetLogicalDriveStringsW 执行功能
TA0003 持久化	T1136 创建账户	T1136.001 本地账户	通过批处理脚本创建管理员账户
TA0005 防御规避	T1562 削弱防御	T1562.004 禁用或修改系统防火墙	关闭并禁用系统防火墙
	T1562 削弱防御	T1562.001 禁用或修改工具	终止杀毒软件(如Bitdefender)
	T1027 文件混淆或信息混淆	T1027.002 软件打包	勒索软件带有UPX4.02的壳
	T1070 指标清除	T1070.004 文件删除	勒索程序执行后，删除勒索相关文件
TA0006 凭据获取	T1555 来自密码存储的凭据	T1555.003来自 Web 浏览器的凭据	从用户 Web 浏览器转储凭据
TA0006 凭据获取	T1003 系统凭据转储	T1003.001 LSASS内存	通过 LSASS 内存转储获取凭证
TA0007 发现	T1049系统网络连接发现	N/A	枚举所有连接的驱动器
	T1018 远程系统发现	N/A	用各种扫描和查询来查找目标环境中的域控制器和远程服务
	T1057 枚举进程	N/A	枚举白名单进程
	T1083 文件和目录发现	N/A	查询指定的文件、文件夹和文件后缀
TA0008 横向移动	T1072 软件部署工具	N/A	使用SuperOps RMM、AnyDesk等远程管理工具
TA0008 横向移动	T1570 横向工具转移	N/A	利用PsExec将勒索软件部署到其他机器
TA0009 收集	T1119 自动收集	N/A	使用批处理脚本进行内网信息收集
TA0010 渗出	T1567 通过 Web 服务渗透	T1567.002 渗入云存储	使用Rclone命令将文件和敏感数据泄露到 MEGA 云存储站点
TA0011 命令与控制	T1219 远程访问软件	N/A	使用 Splashtop 或 AnyDesk 获取对目标计算机的访问权限
TA0011 命令与控制	T1090 代理	N/A	使用Chisel 工具在受感染主机之间创建 SOCK5 代理
TA0040 影响	T1486 为影响而加密的数据	N/A	加密计算机上的文件

功能分析

样本启动后，会加密系统中的文件，并释放勒索信以诱使受害者通过勒索信中的联系方式与攻击者进行沟通及缴纳赎金，将要加密的文件添加扩展".cts0"，加密后，被加密文件的扩展由".cts0"修改为".cts1"，勒索信文件名“cAcTuS.readme.txt”，勒索信中展示受害者可以通过受害者ID和邮箱(或TOX)与攻击者取得联系，其中勒索信中并未表明赎金金额及支付方式。

cAcTuS.readme.txt勒索信内容如下所示：

参数

参数	描述
-r	C:ProgramDatantuser.dat（配置文件）
-i	用于解密RSA公钥的AES密钥（可选参数）
-s	复制自身至C:ProgramData目录下
-t	加密的线程数
-d	加密的路径
-f	加密单个文件
-e	设置加密的最大文件大小

遍历驱动器

下列函数首先使用 GetLogicalDriveStringsW 函数获取计算机上的逻辑驱动器列表，然后使用 GetDriveTypeW 函数检查每个驱动器的类型，不加密光盘驱动器。

创建勒索信文件

持久化

创建一个名为“Updates Check Task”的计划任务，该任务每 5 分钟运行一次，该计划任务为以 SYSTEM 用户的身份运行勒索程序。

文件路径标准化

下图所示函数的作用是将文件路径转换为标准格式，以便后续操作。具体来说，该函数会检查文件路径是否以"\?"或""开头，如果是，则不做任何处理；否则，它会在文件路径前面添加"\?"或"\?UNC"，以便支持长路径和共享文件夹路径。

加密模式

下图所示函数首先判断文件大小是否大于0x7B3332（约为125MB），如果是，则将文件分成若干个块进行加密，否则直接对整个文件进行加密。当分块大于0x28000（约为26.8MB）时，则将每个块设置为0x28000；最后将"success file "和被加密文件的文件名拼接起来，记录到日志中。

检查文件夹名称是否在黑名单中，不对此类文件夹中的文件进行加密

避免加密的文件夹或文件

1.$recycle.bin

2.system volume information

3.windows

4.tmp

5.temp

6.thumb

7.winnt

8.windows.~bt

9.windows.old

10.perflog

11.perflogs

12.boot

13.programdata

14.packages

15.efi

16.windowsapps

17.microsoft

18.windows defender

19.microsoft shared

20.internet explorer

21.tor browser

22.Ctslck

23.CaCtUs.ReAdMe.txt

24.desktop.ini

25.update.log

26.ntuser.dat

检查当前遍历的文件名的扩展名是否与黑名单中的扩展名匹配，该勒索程序避免加密黑名单中的文件扩展。

避免加密的文件扩展

1.exe

2.dll

3.lnk

4.sys

5.msi

6.bat

7.cts0

8.cts1

如下函数使用了Windows API函数RmStartSession、RmRegisterResources、RmGetList、RmShutdown和RmEndSession来实现终止占用特定文件的进程。

避免加密被如下进程占用的文件

1.spoolsv.exe

2.explorer.exe

3.sihost.exe

4.fontdrvhost.exe

5.cmd.exe

6.dwm.exe

7.LogonUI.exe

8.SearchUI.exe

9.lsass.exe

10.csrss.exe

11.smss.exe

12.winlogon.exe

13.services.exe

14.conhost.exe

加密算法

使用AES-256-GCM算法对输入的密钥进行解密，解密出的值作为RSA的密钥，然后将RSA密钥复制到一个指定的内存地址中，并检查该密钥是否有效。如果密钥有效，则返回该RSA密钥的公钥部分。

该勒索软件的加密流程如下所示：

1）在每个遍历到的非黑名单目录中创建勒索信。

2) 将长路径转换成标准路径。

3) 判断当前文件是否属于避免加密的目录、是否属于避免加密的文件、是否包含避免加密的扩展，如果符合任意一个条件时，则继续遍历下一个文件；当不符合条件时，继续下述操作。

4) 将要加密文件的文件名末尾添加后缀".cts0"。

5）使用AES-256-GCM算法解密出RSA算法的公钥，随后RSA的公钥作为AES-256-CBC算法的密钥，使用AES-256-CBC加密文件。

6）将被加密的文件重新写入源文件，文件名扩展由".cts0"修改为"cts1"。

IOCs

1.5737cb3a9a6d22e957cf747986eeb1b3

2.e28db6a65da2ebcf304873c9a5ed086d

3.949d9523269604db26065f002feef9ae

4.eba1596272ff695a1219b1380468293a

5.1add9766eb649496bc2fa516902a5965

6.2611833c12aa97d3b14d2ed541df06b2

7.de6ce47e28337d28b6d29ff61980b2e9

解决方案

处置建议

预防勒索攻击措施：

1、避免打开可疑或来历不明的邮件中的链接和附件。

2、进行定期备份，并将这些备份保存在离线状态或单独的网络中。

3、安装知名的防病毒和 Internet 安全软件包。

当遭遇勒索攻击后：

1、对受感染设备进行断网。

2、断开外部存储设备（如果已连接）。

3、检查系统日志中是否存在可疑事件。

深信服解决方案

【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件，EDR全新上线“动静态双AI引擎”，静态AI能够在未知勒索载荷落地阶段进行拦截，动态AI则能够在勒索载荷执行阶段进行防御，通过动静态AI双保险机制可以更好地遏制勒索蔓延。请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本。

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。