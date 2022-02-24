本文由 IBM Security X-Force 团队的 Anne Jobmann、Claire Zaboeva、Richard Emerson 共同撰写。
2022 年 2 月 24 日，Symantec 企业安全部门报告称，一款名为 PartyTicket 的勒索软件与 HermeticWiper 恶意软件协同部署。IBM Security X-Force 获得了 PartyTicket 勒索软件的样本，并在本博客的 PartyTicket 专栏中介绍了技术分析结果、入侵指标和检测方法。
2022 年 2 月 23 日，开源情报渠道开始报告在乌克兰各组织系统中检测到一款擦除式恶意软件（一种旨在永久销毁目标数据的破坏性恶意软件）。IBM Security X-Force 获得了这款名为 HermeticWiper 的擦除式恶意软件的样本。该恶意软件利用无害的分区管理驱动程序（empntdrv.sys 的副本）执行擦除功能，破坏所有可用物理驱动器的主引导记录（MBR）、分区和文件系统（FAT 或 NTFS）。
这并非 X-Force 分析过的首个以乌克兰组织为攻击目标的擦除式恶意软件。2022 年 1 月，X-Force 曾分析过 WhisperGate 恶意软件，未发现 WhisperGate 与 HermeticWiper 之间存在代码重叠。
这篇博客文章将详细介绍 IBM Security X-Force 对 HermeticWiper 恶意软件的洞察分析、样本技术分析及入侵指标 (IoC)，助力各组织防范此恶意软件。
2022 年 1 月，X-Force 对 WhisperGate 恶意软件进行了分析。HermeticWIper 是过去两个月中观察到的第二款新型破坏性恶意软件，它以乌克兰组织为攻击目标，据说也会攻击东欧其他国家或地区的组织。WhisperGate 与 HermeticWiper 之间未发现代码重叠。
这些新型破坏性恶意软件的部署与发现速度所未有，进一步说明各组织亟需超越基于特征码的防御机制，制定积极主动且有信息支撑的防御战略。
随着该地区冲突继续演变，鉴于 WhisperGate 和 HermeticWiper 的破坏能力，IBM Security X-Force 建议目标地区内的关键基础设施组织加强防御。这些组织应重点防范可能导致数据被破坏、加密或运营遭受重大影响的潜在攻击。
X-Force 认为，破坏性网络攻击很可能持续针对民用目标，以配合混合作战行动。此外，X-Force 还认为，网络攻击很可能随着当前冲突范围的扩大而持续升级蔓延。值得注意的是，越来越多的破坏能力集中攻击与乌克兰及其盟友有关联的私营行业和实体，这可能会加剧对地区商业的威胁，从而改变网络安全环境。
本章节将介绍提交样本的分析结果。典型的分析方法包括行为分析和静态分析。
行为分析用于描述恶意软件在系统执行过程中表现出的行为特征，通常包括在系统上执行的操作，例如文件释放、持久性、进程执行的细节以及任何 C2 通信。需要注意的是，行为分析可能无法捕捉所有显著的恶意软件行为，因为某些功能可能只有在特定条件下才会由恶意软件执行。
静态分析是对恶意软件技术层面的深度剖析，通常包括功能细节、样本中的混淆或打包方式、恶意软件使用的加密技术、配置信息或其他重要技术细节。
执行时，HermeticWiper 会立即调整进程令牌权限并启用 SeBackupPrivilege。因此，该恶意软件可以获得对任何文件的读取权限，不受访问控制列表 (ACL) 限制。
随后它会检测系统操作系统版本，以确定要使用哪个版本的良性分区管理驱动程序（EaseUS Partition Manager：epmntdrv.sys）。驱动程序最初采用 Microsoft 压缩格式（SZDD 压缩）并嵌入到名为 RCDATA 的资源中。
Windows XP：
Windows 7 及更高版本：
确认要使用的版本后，SZDD 压缩的良性分区管理驱动程序会被放置到以下目录：
%WINDIR%\system32\driver\<random_2chars>dr Example: C:\Windows\system32\Drivers\vfdr
然后进行解压并添加“.sys”作为文件扩展名。
Example: C:\Windows\system32\Drivers\vfdr.sys
然后再次调整进程令牌权限以启用 SeLoadDriverPrivilege。该令牌使 HermeticWiper 进程获得加载和卸载设备驱动程序的能力。
接着通过修改以下注册表项禁用崩溃转储选项：
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled = 0
请注意，崩溃转储是指包含系统意外停止原因信息的内存转储文件。禁用此选项将阻止系统创建任何转储文件，从而成功掩盖踪迹。
它还会禁用处于启用状态的卷影复制服务 (vss)，并禁用所有 HKEY_USERS 注册表中的 ShowCompColor 和 ShowInfoTip 选项：
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowCompColor = 0 ShowInfoTip = 0
ShowCompColour 选项以彩色显示压缩和加密的 NTFS 文件，而 ShowInfoTip 选项则显示文件夹和桌面项目的弹窗说明。
HermeticWiper 随后使用 OpenSCManagerW()、OpenServiceW()、CreateServiceW()、StartServiceW() 等 Windows API 将创建的驱动程序添加并加载为系统服务。
示例：
此操作会在注册表中创建服务条目：
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
一旦良性驱动程序服务启动并加载到系统中，它就会再次掩盖踪迹，删除 %WINDIR%\system32\drivers 目录下创建的驱动程序，并删除注册表中创建的服务条目。
HermeticWiper 通过循环遍历 0 至 100 的范围，枚举多达 100 个物理驱动器，然后利用系统中现已加载的良性分区管理器来破坏系统中每个物理驱动器的所有主引导记录 (MBR)。
不仅如此，它还会破坏所有可用的分区，甚至同时支持 FAT 和 NTFS 文件系统。在 NTFS 文件系统中，它还会破坏存储文件完整信息的主文件表 (MFT)，确保数据彻底无法恢复。
所有磁盘均遭破坏后，系统本应崩溃，但为确保万无一失，HermeticWiper 还创建了一个故障安全休眠线程，用于触发系统关机以强制重启目标系统。
该擦除式恶意软件的样本分析显示，它通过颁发给 Hermetica Digital Ltd 组织的数字证书进行签名，创建于 2021 年 4 月 15 日。数字证书是一种文件或加密签名，用于证明文件、服务器或用户等项目的真实性。
HermeticWiper 内含以下数字证书：
文件系统：
%WINDIR%\system32\driver\<random_2chars>dr
注册表：
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
服务：
服务名称：<random_2chars>dr
IBM Security X-Force 开发了以下 Yara 签名来检测 HermeticWiper 的其他实例。
导入"pe"
rule XFTI_HermeticWiper : HermeticWiper
{
meta:
author = "IBM X-Force Threat Intelligence Malware Team"
description = "Detects the wiper targeting Ukraine."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
ticket = "IRIS-12790"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
yara_version = "4.0.2"
date_created = "24 Feb 22"
date_updated = ""
reference = ""
xfti_reference = ""
strings:
$s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
$s2 = "C:\\Windows\\SYSVOL" wide fullword
$s3 = "DRV_X64" wide fullword
$s4 = "DRV_X86" wide fullword
$s5 = "DRV_XP_X64" wide fullword
$s6 = "DRV_XP_X86" wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports("lz32.dll", "LZOpenFileW") and
pe.imports("kernel32.dll", "FindResourceW") and
pe.imports("advapi32.dll", "CryptAcquireContextW")
}
PartyTicket 勒索软件样本是用 Go 语言编译的勒索软件，据信与攻击乌克兰组织的 HermeticWiper 恶意软件协同传播。
PartyTicket 勒索软件不具备权限提升功能，仅能在当前用户权限范围内执行。这意味着如果使用非特权账户执行，需要更高权限的文件夹和文件将不会被加密。
PartyTicket 会为其加密的所有文件添加 “.[vote2024forjb@protonmail.com].encryptedJB” 作为文件扩展名，并同时采用 RSA 和 AES 算法加密目标文件。
该勒索软件的初步静态分析显示，其代码中出现了“Biden”和“Whitehouse”字样。
执行时，PartyTicket 勒索软件会从 A: 到 Z: 检查所有可用驱动器，遍历除包含“Windows”和“Program Files”文件夹之外的所有目录，构建待加密文件列表。
在遍历目录结构的过程中，该勒索软件会枚举包含以下扩展名的目标文件列表：
.acl、.avi、.bat、.bmp、.cab、.cfg、.chm、.cmd、.com、.crt、.css、.dat、.dip、.dll、.doc、.dot、.exe、.gif、.htm、.ico、.iso、.jpg、.mp3、.msi、.odt、.one、.ova、.pdf、.png、.ppt、.pub、.rar、.rtf、.sfx、.sql、.txt、.url、.vdi、.vsd、.wma、.wmv、.wtv、.xls、.xml、.xps、.zip、.docx、.epub、.html、.jpeg、.pptx、.xlsx、.pgsql、.contact、inc
请注意，.exe 扩展名也被列入待加密目标，表明该勒索软件随后会对自身进行加密。
创建目标列表后，该勒索软件会为目标列表中的每个文件创建一个以通用唯一识别码 (UUID) 命名的自身副本。这些副本会作为原始 PartyTicket 进程的子进程执行，每个副本负责加密目标文件列表中的一个文件，并设有三十秒超时限制。
PartyTicket 子流程执行生命周期示例：
C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe> b6771851-a968-11eb-9f9f-000c29fc4fde.exe b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe <target_file_to_encrypt> timeout /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe
文件系统：
%DESKTOP%\read_me.html
<encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB
IBM Security X-Force 开发了以下 Yara 签名规则来协助识别 PartyTicket 勒索软件实例。
rule XFTI_PartyTicket : PartyTicket
{
meta:
author = "IBM Security X-Force "
description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
yara_version = "4.0.2"
date_created = "25 Feb 22"
strings:
$main_func1 = "pr1me"
$main_func2 = "dtFie"
$main_func3 = "getBoo"
$main_func4 = "selfElect"
$main_func5 = "highWay60"
$main_func6 = "voteFore403"
$main_func7 = "subscribeNewPartyMember"
$proj_path = "/403forBiden/"
$file_ext = ".encryptedJB"
condition:
uint16(0) == 0x5A4D and 7 of them
}
X-Force 目前建议各组织对此报告中列出的文件系统、注册表和 Windows 服务指标实施检测，并利用提供的 Yara 规则来扫描文件。此外，全球企业应深入了解其各自的网络、供应链、第三方以及位于区域内或为区域内机构服务的合作伙伴。同时建议各组织保持相关信息共享实体之间的沟通渠道通畅，确保可作指标的接收和交换。
除针对入侵指标的应对措施外，X-Force 还建议各组织考虑采取以下主动防护措施：
如果您有疑问并希望深入探讨恶意软件和防护手段，请点击此处预约简报。敬请关注 IBM Security X-Force Exchange 和 IBM PSIRT 博客，获取持续更新的最新动态。
如果遇到网络安全问题或事件，请联系 X-Force 寻求帮助。
