专栏名称: 嘶吼专业版

为您带来每日最新最专业的互联网安全专业信息。

ShrinkLocker：使用原生 BitLocker 功能加密并窃取解密密钥

嘶吼专业版 · 公众号 · 互联网安全 · 2024-07-19 14:00

正文

介绍

攻击者总是能找到各种创造性的方法来绕过防御功能并达到他们的目的，例如通过打包程序、加密程序和代码混淆来实现。然而，逃避检测以及最大化兼容性的最佳方法之一是使用操作系统自身的功能。

在勒索软件威胁的背景下，一个值得注意的情况是利用加密 DLL ADVAPI32.dll 中存在的导出函数，例如 CryptAcquireContextA、CryptEncrypt 和 CryptDecrypt。通过这种方式，攻击者可以确保恶意软件在支持此 DLL 的各种版本的操作系统中运行并模拟正常行为。

而在最近的一次事件响应中，另一种巧妙的技术引起了安全研究人员的注意：使用原生 BitLocker 功能加密并窃取解密密钥。BitLocker 的最初目的是解决丢失、被盗或不当退役设备导致数据被盗或泄露的风险，然而，威胁者发现这种机制可以被重新用于实现恶意目的，且效果非常好。

在该事件中，攻击者能够部署并运行一个高级 VBS 脚本，该脚本利用 BitLocker 进行未经授权的文件加密。安全研究人员在墨西哥、印度尼西亚和约旦发现了此脚本及其修改版本。本文将详细分析在事件响应工作中获得的恶意代码，并提供缓解此类威胁的建议。

这不是我们第一次看到 BitLocker 用于加密驱动器并索要赎金。以前，攻击者在访问和控制关键系统后，会使用此 Microsoft 实用程序来加密这些系统。然而，在这种情况下，攻击者采取了额外的措施来最大限度地扩大攻击造成的损害，并阻碍对事件的有效响应。

VBScript 分析

一个有趣的现象是，攻击者没有像威胁者通常做的那样费心混淆大部分代码。对此最合理的解释是，当脚本执行时，他们已经完全控制了目标系统。它以 Disk.vbs 的形式存储在 C:\ProgramData\Microsoft\Windows\Templates\ 中。

它的第一行包含一个函数，该函数使用 ADODB.Stream 对象将字符串转换为其二进制表示形式。此函数稍后用于编码要在 HTTP POST 请求中发送的数据。

Stream_StringToBinary 函数

脚本主要功能的第一步是使用 Windows 管理规范 (WMI) 在 Win32_OperatingSystem 类的帮助下查询有关操作系统的信息。对于查询结果中的每个对象，脚本都会检查当前域是否与目标不同。如果不同，脚本将自动完成。

之后，它会检查操作系统的名称是否包含“xp”、“2000”、“2003”或“vista”，如果 Windows 版本与其中任何一个匹配，脚本将自动完成并删除自身。

执行的初始条件

此后，脚本继续依赖 WMI 查询有关操作系统的信息。然后，它会执行磁盘大小调整操作，这些操作可能会因操作系统版本检查的结果而异。这些操作仅在固定驱动器（DriveType = 3）上执行。文件系统中通常存在以下驱动器类型：

恶意软件不会尝试在网络驱动器（DriveType = 4）上执行相同操作的可能原因是为了避免触发网络上的检测工具。

为了调整 Windows Server 2008 或 2012 中的本地驱动器大小，脚本会检查主启动分区并保存此信息。它会保存不同分区的索引，然后使用 diskpart 执行以下操作：

· 将每个非启动分区的大小缩小 100 MB。这将在启动卷以外的每个分区中创建 100 MB 的未分配空间；

· 将未分配空间拆分为新的 100 MB 主分区；

· 使用覆盖选项格式化分区，这会在必要时强制先卸载卷，并为每个分区分配文件系统和驱动器号；

· 激活分区；如果缩小过程成功，则将“ok”保存为变量，以便脚本可以继续。

Windows Server 2008 和 2012 中脚本执行的磁盘大小调整操作

如果操作成功，代码将使用实用程序 bcdboot 和之前保存为启动卷的驱动器号在新的主分区上重新安装启动文件。

重新安装引导文件

其他操作系统版本的分区缩小操作类似，但出于兼容性原因，使用不同的代码段实现。下面的示例显示了应用于 Windows 版本 7、8 和 8.1 的过程。

Windows 版本 7、8 或 8.1 中的磁盘大小调整操作

对于 Windows 2008 或 7，分区压缩过程完成后，变量 matchingDrives 会保存以逗号分隔的驱动器号，但前提是文件系统为 NFTS、exFAT、FAT32、ReFS 或 FAT。代码经过修改，可打印示例：

然后，该脚本添加以下注册表项：

· fDenyTSConnections = 1：禁用 RDP 连接；

· scforceoption = 1：强制智能卡身份验证；

· UseAdvancedStartup = 1：要求使用 BitLocker PIN 进行预启动身份验证；

· EnableBDEWithNoTPM = 1：允许在没有兼容 TPM 芯片的情况下使用 BitLocker；

· UseTPM = 2：如果可用，允许使用 TPM；

· UseTPMPIN = 2：如果可用，允许使用带有 TPM 的启动 PIN；

· UseTPMKey = 2：如果可用，允许使用带有 TPM 的启动密钥；

· UseTPMKeyPIN = 2：如果可用，允许使用带有 TPM 的启动密钥和 PIN；

· EnableNonTPM = 1：允许在没有兼容 TPM 芯片的情况下使用 BitLocker，需要 ·USB 闪存驱动器上的密码或启动密钥；

· UsePartialEncryptionKey = 2：要求使用带有 TPM 的启动密钥；

· UsePIN = 2：要求使用带有 TPM 的启动 PIN。

如果脚本检测到错误，它将重新启动系统。

注册表修改

通过动态分析恶意软件，我们可以确认执行的注册表更改：

此外，有多个函数执行这些操作，每个函数都是为不同版本的 Windows 设计的。在某些条件下，它会通过远程服务器管理工具的 ID 266 检查 BitLocker 驱动器加密工具是否处于活动状态。然后，恶意软件会检查 BitLocker 驱动器加密服务 (BDESVC) 是否正在运行。如果没有，它会启动该服务。