Black Kingdom惡意軟件分析

在2019年發現了針對Microsoft Exchange Server 漏洞的勒索軟件Black Kingdom ，該惡意軟件由python編碼。今年再次發現其惡意活動，該勒索軟件利用 Microsoft Exchange 漏洞 (CVE-2021-27065)進行傳播。勒索軟件使用 Python 編碼并用 PyInstaller 編譯為可執行文件；它支持兩種密鑰生成模式：動態生成密鑰和硬編碼密鑰。

背景

3 月底公開報道了CVE-2021-27065 Microsoft Exchange 漏洞（稱為 ProxyLogon）攻擊活動中出現了名為 Black Kingdom 的勒索軟件家族。對 Black Kingdom 分析表明，它存在一些bug和關鍵性的加密缺陷，由于使用了硬編碼密鑰，受害者可利用其解密文件。它在 2020 年還利用了其他漏洞，例如 CVE-2019-11510。

技術分析

傳播方式

該勒索軟件集團在目標上成功利用該漏洞后，會在受感染的系統中安裝 webshell。webshell 使攻擊者能夠執行任意命令，例如下載和運行 Black Kingdom 可執行文件。

休眠參數

勒索軟件可以在沒有參數的情況下執行，并開始加密系統，也可以加入參數運行 Black Kingdom，它會在開始加密之前進行等待。

Black Kingdom 使用 Python3.7 編寫并使用 PyInstaller 編譯為可執行文件。大部分勒索軟件邏輯都被編碼到名為 0xfff.py 的文件中。

排除的目錄

Black Kingdom 加密時會排除某些文件夾，避免在加密期間破壞系統。

Windows,

ProgramData,

Program Files,

Program Files (x86),

AppData/Roaming,

AppData/LocalLow,

AppData/Local.

PowerShell 命令

在文件加密之前，Black Kingdom 使用 PowerShell 停止系統中所有包含“sql”的進程：

Get-Service*sql*|Stop-Service-Force2>$null

完成后刪除系統中的 PowerShell 歷史記錄，攻擊者試圖通過刪除其活動的所有痕跡來隱藏在系統中。

加密過程

Black Kingdom 基于以下算法生成 AES-256 密鑰。

惡意軟件會生成一個 64 個字符的偽隨機字符串，然后獲取字符串的 MD5 哈希值并將其用作 AES-256 加密的密鑰。生成的密鑰會發送到第三方服務，如果連接不成功，Black Kingdom 將使用代碼中的硬編碼密鑰對數據進行加密。

以下是與第三方服務成功連接的示例：

通信數據格式如下：

ID: Generated ID for user identification

Key: Generated user key

User: Username in the infected system

Domain: Domain name to which the infected user belongs

Black Kingdom 可以通過傳參的方式加密單個文件，代碼實現如下：

如果沒有任何參數傳入，惡意軟件將會枚舉系統文件，然后多進程對文件進行加密。

Black Kingdom 還會枚舉各種驅動器號并對其進行加密，并在每個加密目錄留下勒索信息。

加密錯誤

勒索軟件開發過程中出現了一些bug，例如，加密密鑰管理不當，或者即使受害者支付了費用也無法恢復。Black Kingdom 嘗試將生成的密鑰上傳到 Mega，如果上傳失敗，使用硬編碼密鑰對文件進行加密。如果文件已加密且系統無法與 Mega 建立連接，可以使用硬編碼密鑰恢復文件。

在加密過程中，Black Kingdom 不會檢查文件是否已經加密，如果系統被 Black Kingdom 感染兩次，系統中的文件也會被加密兩次。

系統清理

Black Kingdom使用 Python 清理系統日志。

勒索信息

Black Kingdom 將桌面背景更改為勒索信息，同時使用 pyHook 禁用鼠標和鍵盤。

***************************

| We Are Back ?

***************************

We hacked your (( Network )), and now all files, documents, images,

databases and other important data are safely encrypted using the strongest algorithms ever.

You cannot access any of your files or services .

But do not worry. You can restore everthing and get back business very soon ( depends on your actions )

before I tell how you can restore your data, you have to know certain things :

We have downloaded most of your data ( especially important data ) , and if you don’t contact us within 2 days, your data will be released to the public.

To see what happens to those who didn’t contact us, just google : ( Blackkingdom Ransomware )

***************************

| What guarantees ?

***************************

We understand your stress and anxiety. So you have a free opportunity to test our service by instantly decrypting one or two files for free

just send the files you want to decrypt to (support_blackkingdom2@protonmail.com

***************************************************

| How to contact us and recover all of your files ?

***************************************************

The only way to recover your files and protect from data leaks, is to purchase a unique private key for you that we only posses .

[ + ] Instructions:

1- Send the decrypt_file.txt file to the following email =? support_blackkingdom2@protonmail.com

2- send the following amount of US dollars ( 10,000 ) worth of bitcoin to this address :

[ 1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT ]

3- confirm your payment by sending the transfer url to our email address

4- After you submit the payment, the data will be removed from our servers, and the decoder will be given to you,

so that you can recover all your files.

## Note ##

Dear system administrators, do not think you can handle it on your own. Notify your supervisors as soon as possible.

By hiding the truth and not communicating with us, what happened will be published on social media and yet in news websites.

Your ID ?

FDHJ91CUSzXTquLpqAnP

代碼分析

反編譯 Python 代碼后發現 Black Kingdom 的代碼庫起源于 Github。Black Kingdom 修改了部分代碼，添加了一些功能，例如硬編碼密鑰或與第三方服務 的通信。

IOC

文件哈希

b9dbdf11da3630f464b8daace88e11c374a642e5082850e9f10a1b09d69ff04fc4aa94c73a50b2deca0401f97e4202337e522be3df629b3ef91e706488b64908a387c3c5776ee1b61018eeb3408fa7fa7490915146078d65b95621315e8b4287815d7f9d732c4d1a70cec05433b8d4de75cba1ca9caabbbe4b8cde3f176cc670910fbfa8ef4ad7183c1b5bdd3c9fd1380e617ca0042b428873c48f71ddc857db866b1f5c5edd9f01c5ba84d02e94ae7c1f9b2196af380eed1917e8fc21acbbdcc25a5c14269c990c94a4a20443c4eb266318200e4d7927c163e0eaec4ede780a

域

hxxp://yuuuuu44[.]com/vpn-service/$(f1)/crunchyroll-vpn

YARA rules

import “hash”

import “pe”

rule ransomware_blackkingdom {

meta:

description = “Rule to detect Black Kingdom ransomware”

author = “Kaspersky Lab”

copyright = “Kaspersky Lab”

distribution = “DISTRIBUTION IS FORBIDDEN. DO NOT UPLOAD TO ANY MULTISCANNER OR SHARE ON ANY THREAT INTEL PLATFORM”

version = “1.0”

last_modified = “2021-05-02”

hash = “866b1f5c5edd9f01c5ba84d02e94ae7c1f9b2196af380eed1917e8fc21acbbdc”

hash = “910fbfa8ef4ad7183c1b5bdd3c9fd1380e617ca0042b428873c48f71ddc857db”

condition:

hash.sha256(pe.rich_signature.clear_data) == “0e7d0db29c7247ae97591751d3b6c0728aed0ec1b1f853b25fc84e75ae12b7b8”

}