《天际友盟：勒索软件系列报告之二-新兴的勒索软件 BianLian（13页）.pdf》由会员分享，可在线阅读，更多相关《天际友盟：勒索软件系列报告之二-新兴的勒索软件 BianLian（13页）.pdf（13页珍藏版）》请在三个皮匠报告上搜索。

1、新兴的勒索软件 BianLian新兴的勒索软件 BianLian2022-12双子座实验室新兴的勒索软件 BianLian勒索软件系列报告之二新兴的勒索软件 BianLian目录CONTENTS01 背景02 技术详情03 运营特点04 总结05 附录3新兴的勒索软件 BianLian新兴的勒索软件 BianLian世界经济论坛发布的2022 年全球网络安全展望报告显示，勒索软件攻击在全球网络领导者网络威胁关心问题中排名第一，成为全球广泛关注的网络安全难题。本系列报告正是以当前最为活跃的勒索软件攻击为主题展开，聚焦暗网中多个活跃的勒索软件组织或团伙，梳理各个勒索软件的发展阶段、剖析关键技术细节

2、、盘点重大攻击事件，对勒索软件组织或团伙进行全面画像，希望为未来应对勒索软件攻击提供有力的参考。前言4新兴的勒索软件 BianLian背景技术详情01022.1 开发语言2.2 攻击方式作为 2022 年比较活跃的勒索软件之一，BianLian 勒索软件最早出现在 2021 年 12 月，当时仅限于小规模的攻击活动。直至 2022 年 8 月份，BianLian 勒索软件才开始大规模活跃，主要针对美国（超过 50%）和欧洲多个国家，攻击目标行业遍布教育、制造、金融、医疗、娱乐、建筑、云服务等多个领域，其中医疗领域涉及最多，包括制药、医疗器械、医疗机构等。研究发现，BianLian 勒索软件团伙

3、攻击的目标主要为英语国家，再结合其攻击的行业，可以看出 BianLian 应该是一个以经济利益为目标的团伙，并没有掺杂其它政治因素。像大多数勒索软件一样，BianLian 使用了双重勒索的攻击方式，在加密目标文件后会把窃取数据发布在其暗网的官网上，并限定期限缴纳赎金。仅在 2022 年 8-10 月份这两个多月的时间，BianLian 团伙就在暗网上披露了十几家受害者数据，但从十月下旬开始，BianLian 就变得非常低调，攻击活动也逐步减少。BianLian 是基于 GoLang 自主开发的勒索软件，Go 语言的特点就是易移植，适用性强，而且逆向困难，不容易被破解。尤其是它对并发的强大支持，

4、增强了勒索软件快速攻击的能力。BianLian 勒索软件利用 ProxyShell 漏洞链（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）初步访问受害者网络，成功利用漏洞后，攻击者会部署一个 webshel l 或利用其它远程访问方案，如 ngrok 作为后续有效载荷。BianLian 还可以针对 SonicWall VPN 设备漏洞进行利用，并试图利用弱凭据或已暴露的凭据进行远程访问。研究发现，攻击者从获得初始访问权限到实际加密文件的停留时间可长达六周。BianLian 最初会尝试在整个网络中传播，窃取最有价值的数据并识别关键机器进行加密，如果确定

5、了目标主机，他们就会使用标准的 LotL（即 Living off the Land）方法进行横向移动。LotL 指的是入侵者利用目标系统中可用的合法软件和功能对其执行恶意操作。BianLian 攻击者会使用 nssm.exe 和反向代理 ngrok.exe 的组合在服务器上创建后门，之后利用 RDP、WinRM、WMI 和 PowerShell 等 LotL 方法来实现网络分析和横向移动。5新兴的勒索软件 BianLian新兴的勒索软件 BianLian2.3 定制后门2.4 攻击特点2.5 加密过程2.6 赎金记录BianLian 勒索团伙在攻击的初始阶段非常谨慎，尽量避免引起目标的注意。

6、他们一般不会直接 ping 目标，而是使用 arp 命令。即使在使用 ping 命令的情况下，通常也只发送一个 ping 命令，这一般不会引起目标主机的注意。一旦 BianLian 攻击者确定了他们想要访问的目标主机，就会使用之前提到的 LotL 技术，例如使用 net.exe 来添加和修改用户权限，使用netsh.exe来配置主机防火墙策略，以及利用reg.exe来修改各种注册表和安全策略以实施相关攻击。待时机成熟 BianLian 决定开始加密受害者网络时，就会立即采取激进的方法，攻击任何阻碍其加密工具运行的的网络或基于主机的防御。研究发现，在一次攻击的前 30 分钟内，研究人员见证了数十