勒索病毒
跨平台 BERT 勒索病毒集團攻擊亞洲和歐洲
BERT 是一個最新出現的勒索病毒集團,結合了簡單的程式碼與有效的執行手段,對歐洲和亞洲地區發動攻擊。本文探討該集團的攻擊手法、變種演進方式、突破防線的工具,以及在不同平台上加快加密速度的作法。
重點摘要
- BERT (趨勢科技命名為 Water Pombero) 是一個最新出現的勒索病毒集團,同時具備攻擊 Windows 和 Linux 平台的能力,其受害對象遍及亞洲、歐洲和美國,尤其是醫療、技術和活動策畫服務等產業。
- 該集團使用的手法包括:PowerShell 載入器、權限提升技巧,以及多個檔案同步加密,儘管他們使用的程式碼庫相當單純,卻依然有能力簡化攻擊的執行並且躲避偵測。
- 在 Linux 系統上,BERT 的勒索病毒變種可支援高達 50 個執行緒來快速加密,而且可強制關閉 ESXi 虛擬機器來讓衝擊最大化,並干擾復原工作。
- Trend Vision One™ 已可偵測並攔截 BERT 相關的入侵指標 (IoC)。此外,Trend Vision One 的客戶還可透過追蹤查詢、Threat Insights 及 Intelligence Reports 來取得有關 BERT 的豐富資訊和最新消息。
今年 4 月,我們發現了一個名為 BERT 的最新勒索病毒集團,瞄準了亞洲和歐洲的企業機構。Trend™ Research 的監測資料已證實了該勒索病毒的出現以及活動痕跡。
本文探討 BERT 多個變種所使用的工具和手法,藉由比較其不同的變種,我們整理出該勒索病毒集團的運作方式、手法的演進,以及他們用來躲避偵測及資安防禦的手段。
受害者分析
我們發現,該集團一開始的攻擊事件集中在美國及部分亞洲地區的企業機構,受害產業包括醫療、技術和活動策畫服務。最近,我們又發現這個勒索病毒出現在我們的監測資料當中,並且顯示其攻擊正在擴大。自從 4 月首次發現至今,已經有多家機構受害。
Windows 系統上的 BERT
BERT 勒索病毒集團的 Windows 變種採用了一種相當單純的程式碼結構,它會根據某些字串來篩選並終止特定的處理程序。
其公開金鑰、副檔名以及勒索訊息都很容易取得,此外,也使用了標準的 AES 演算法來將檔案加密。
網路上觀察到的活動
研究期間,我們在網路上發現了更多被上傳的樣本。根據分析資料顯示,這些樣本都是比較舊的版本,缺乏我們內部監測資料的樣本中看到的最新加密方法和函式列表。這些差異顯示駭客仍在積極開發及改進這款勒索病毒。
我們在調查過程中發現了一個 PowerShell 腳本 (start.ps1),其功能是 BERT 勒索病毒惡意檔案 (payload.exe) 的載入器。此腳本會提升權限並停用 Windows Defender、防火牆以及使用者帳號控制 (UAC) 功能,並從遠端 IP 位址 185[.]100[.]157[.]74. 下載勒索病毒來執行。不過勒索病毒突破企業防線的確切方式,目前仍不清楚。
有趣的是,前述的 IP 位址隸屬於自治系統編號 ASN 39134 底下,而 ASN 39134 是註冊在俄羅斯。雖然光靠這點並不足以斷定其幕後黑手是俄羅斯集團,但使用俄羅斯境內的基礎架構卻意味著駭客集團可能位於該地區,或者與該地區有所淵源。值得注意的是,start.ps1 是勒索病毒的第一個執行點。
PowerShell 腳本會在 Start-Process 指令中使用「-Verb RunAs」參數來嘗試以較高 (系統管理員) 的權限啟動一個處理程序 (payload.exe)。此參數用來告訴 Windows 要以系統管理員的身分執行該執行檔,或者當駭客已擁有一定程度的存取權限 (例如已駭入某個使用者階段作業) 然後想要升級到完整系統管理員權限時,也會使用此參數。
勒索病毒下載 IP 位址上的開放目錄清單上含有 payload.exe 和 start.ps1 兩個檔案以及對應的時間戳記、檔案大小和伺服器資訊,如圖 5 所示。這個可公開存取的目錄,可能是用來當成散布 BERT 勒索病毒元件的暫存點。
![圖 5:位於 185[.]100[.]157[.]74 上的開放目錄清單可看到 BERT 勒索病毒惡意檔案 (payload.exe) 及其 PowerShell 載入器 (start.ps1)。](/content/dam/trendmicro/global/en/research/25/g/bert-ransomware-group-targets-asia-and-europe-on-multiple-platforms/fig5_open_directory_listing.png)
BERT 變種的演進
這裡特別點出我們在 BERT 勒索病毒不同世代之間發現到的一項差異來示範它如何變得更好、更簡化。舊的變種會先列出系統上的所有硬碟,然後在每一個目錄當中植入一份勒索訊息。接著,它會蒐集所有有效檔的案路徑來進行加密準備,並儲存在一個陣列當中。這個蒐集階段完成之後,它才會開始使用多個執行緒來執行加密。
反觀新的變種則會使用 ConcurrentQueue (同步執行佇列) 並且在每個硬碟上建立一個 DiskWorker 工作執行緒來改善多執行緒加密程序。這樣,勒索病毒一找到檔案就會立即開始加密,而非像舊的版本那樣,先將檔案路徑儲存在陣列當中之後再開始加密。
Linux 系統上的 BERT
今年 5 月,我們發現了一個 BERT 勒索病毒集團的 Linux 樣本。它使用了 50 個執行緒來發揮最大的加密速度,使它能快速將整個系統的檔案全部加密,同時還能盡量減少被發現或中斷的機會。
此勒索病毒可接受以下指令列參數:
- --path, -p
指定要加密的目標目錄,若未提供,則將當前的目錄加密。 - --threads, -t
指定要用來加密的執行緒數量,預設為 50 個執行緒。 - --silent, -s
啟用靜音模式,不會自動停止虛擬機器。
在未提供指令列參數的情況下,它會使用圖 10 顯示的指令來關閉虛擬機器。
這道指令會強制終止 ESXi 主機上執行的所有虛擬機器處理程序。
加密完成之後,它會在檔名末端加上「.encrypted_by_bert」副檔名,並植入勒索訊息檔案「crypted_by_bert-decrypt.txt」,此外還會在輸出畫面上以一個橫幅顯示當前已加密的檔案數量。
勒索病毒的組態設定是採用內嵌的 JSON 格式,內含其公開金鑰 (pk)、Base64 編碼的勒索訊息、被加密檔案要附加的副檔名,以及其他詳細資訊。
根據進一步調查顯示,該集團可能衍生自最早在 2021 年初發現的 REvil Linux 變種,專門攻擊 ESXi 伺服器和 Linux。另有一篇報告也證實了遭到外洩的 Babuk 原始程式碼與 Conti 和 REvil 的 ESXi 相關攻擊程式碼之間有所重疊。儘管 REvil 集團早在 2022 年就遭到瓦解,但有可能該集團就是重新利用了 REvil Linux 變種的程式碼。
根據前述報告,此版本使用了 JSON 格式的組態設定,並內嵌在二進位檔案當中,這是最新現代化勒索病毒的典型特徵,因為這能提供更好的適應能力,讓不同的攻擊行動更容易進行客製化。
結論與建議
未來勢必還會不斷出現新的勒索病毒集團,重新利用一些熟悉的工具和程式碼,並且持續改善手法、技巧與程序 (TTP)。正如 BERT 勒索病毒集團所證明,就算是簡單的工具也可以成功感染系統。這突顯出,新興駭客集團不需複雜的技巧來發動攻擊,只需一條邁向目標的可靠路徑:從入侵、資料外傳,到徹底榨乾受害者。
面對不斷演變的 TTP,要防範像 BERT 這樣的駭客集團必須結合主動式措施以及通過考驗的資安最佳實務原則。企業應密切監控 PowerShell 遭到濫用的情況以及未經授權的腳本執行動作,尤其像「start.ps1」這類會停用資安工具並提升權限的載入器腳本。強化端點防護、管制系統管理員權限,以及隔離 ESXi 伺服器這類關鍵系統,都能大幅降低曝險。
要主動防範 BERT 勒索病毒的攻擊,企業應建置一套完整的資安策略,包括以下最佳實務原則:
- 電子郵件與網站安全:謹慎處理電子郵件和網站操作,避免下載附件檔案、點選連結或安裝應用程式,除非來源經過檢驗且值得信賴。建置網站過濾來防止使用者存取已知的惡意網站。這有助於防止類似的威脅入侵。
- 資料備份:定期備份關鍵資料並建立一套完善的復原計畫。包括離線保存以及不可變更的備份,以確保在檔案遭到加密或清除時能夠還原資料。
- 存取控管:唯有在必要時才授予員工系統管理員的存取權限。定期重新檢視並調整權限,盡可能降低未經授權存取的風險。
- 定期更新與掃描:確保所有資安軟體都定期更新,並且定期掃描以發掘漏洞。採用端點防護解決方案來偵測及攔截惡意元件與可疑行為。
- 使用者教育訓練:定期舉辦員工訓練,教導員工如何辨識社交工程技巧,以及了解網路釣魚的危險。這樣的意識可大幅降低被這類攻擊所害的機率。
- 多層式防護方法:採用一套包括端點、電子郵件、網站及網路防護的多層式防禦策略。這套方法有助於防範系統的潛在入侵點,並提升整體威脅偵測能力。
- 沙盒模擬分析與應用程式控管:利用沙盒模擬分析工具在檔案執行之前預先加以分析,確保任何可疑檔案都經過掃描以確認是否有潛在的威脅。強制貫徹應用程式控管政策來防範未經授權的應用程式和腳本執行。
- 監控異常活動:建置資安事件管理 (SIEM) 工具來監控異常的腳本執行與對外連線。這樣的主動監控有助於在威脅升高之前預先偵測並加以防範。
觀察到的 TTP
| 手法 | 技巧 | 編號 | 變種 | 詳細說明 |
| 執行 | 指令與腳本解譯器:PowerShell | T1059.001 | Windows | 使用 PowerShell 來從事活動並執行惡意檔案。 |
| 躲避防禦 | 降低防禦:停用或篡改工具 | T1562.001 | Windows | 停用 Defender 與相關防護,使用 PowerShell 修改系統登錄。 |
| 降低防禦:停用或修改系統防火牆 | T1562.004 | Windows | 使用 PowerShell 指令 Set-NetFirewallProfile 來停用網域、公共及私人防火牆設定檔。 | |
| 操弄權限控制機制:迴避 UAC 使用者帳戶控制 | T1548.002 | Windows | 停用 UAC 可讓程式能夠提升其權限而不會觸發 UAC 的通知訊息。 | |
| 搜尋 | 檔案與目錄搜尋 | T1083 | Windows / Linux | 列舉檔案和目錄。 |
| 虛擬機器搜尋 | T1673 | Linux | 使用 esxcli vm process list 來列舉 VM 映像。 |
|
| 處理程序搜尋 | T1057 | Windows | 發掘並終止關鍵服務。 | |
| 造成衝擊 | 資料加密 | T1486 | Windows / Linux | 將受害者的檔案加密。 |
| 破壞資料 | T1485 | Windows / Linux | 破壞資料以防止復原。 | |
| 防止系統還原 | T1490 | Windows / Linux | 將虛擬機器 (ESXi) 的快照加密。 |
表 1:摘要列出 BERT 使用的 TTP。
採用 Trend Vision One™ 的主動式防護
Trend Vision One™ 是唯一將資安曝險管理、資安營運以及強大的多層式防護集中在一起的 AI 驅動企業網路資安平台。這套全方位的方法能協助您預測及防範威脅,讓您在所有數位資產上加速實現主動式防護的成果。它憑著數十年的網路資安領導地位,以及業界首創的 Trend Cybertron 主動式網路資安 AI,為您帶來經得起考驗的具體成果:減少 92% 的勒索病毒風險,以及縮短 99% 的偵測時間。資安領導人可評量自己的資安狀況,向所有利害關係人展示資安的持續改善。有了 Trend Vision One,您就能消除資安盲點,專心處理最重要的問題,讓資安晉升為支援您創新的策略合作夥伴。
Trend Vision One™ Threat Intelligence
要隨時掌握持續演變的威脅,採用 Trend Vision One™ 的客戶可從 Vision One 內部取得各種情報 (透過 Intelligence Reports) 與威脅洞見 (透過 Threat Insights)。Threat Insights 可幫助客戶在威脅發生之前便提前掌握,並對新興的威脅預先做好準備,提供有關駭客、惡意活動及駭客技巧的完整資訊。善用這些情報,客戶就能主動採取步驟來保護自己的環境、防範風險,並且有效回應威脅。
Trend Vision One Threat Insights 應用程式
Trend Vision One Intelligence Reports 應用程式 [IoC 掃描]
追蹤查詢
Trend Vision One Search 應用程式
Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
偵測 BERT 勒索病毒是否存在:
malName:Ransom*TREB* AND eventName:MALWARE_DETECTION
除此之外,Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。
入侵指標 (IoC)
| SHA256 雜湊碼 | 偵測結果 | 說明: |
| 1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326 | PUA.Win32.DefenderControl.B | 停用防毒軟體的工具。 |
| 70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4 | PUA.Win64.ProcHack.B | 用於操控處理程序的 Process Hacker 二進位檔案。 |
| 75fa5b506d095015046248cf6d2ec1c48111931b4584a040ceca57447e9b9d71 | Ransom.MSIL.TREB.YPFDUT | BERT 勒索病毒 (Windows 二進位檔案、新變種)。 |
| 8478d5f5a33850457abc89a99718fc871b80a8fb0f5b509ac1102f441189a311 | Ransom.MSIL.TREB.SMYPFDUT | BERT 勒索病毒 (Windows 二進位檔案)。 |
| b2f601ca68551c0669631fd5427e6992926ce164f8b3a25ae969c7f6c6ce8e4f | Trojan.PS1.POWLOAD.THEBIBE | 下載並執行 BERT 勒索病毒的 PowerShell 腳本。 |
| bd2c2cf0631d881ed382817afcce2b093f4e412ffb170a719e2762f250abfea4 | PUA.Win64.ProcHack.YACIU | 另一個 Process Hacker 二進位檔案變種。 |
| c7efe9b84b8f48b71248d40143e759e6fc9c6b7177224eb69e0816cc2db393db | Ransom.Linux.TREB.THDBEBE | BERT 勒索病毒 (Linux 變種)。 |
| hxxp://185[.]100[.]157[.]74/payload[.]exe | 下載網址。 |