当前位置：首页 > 数据库

勒索软件 BlackBasta 2.0 的技术演变

2022 年 11 月 16 日，勒索研究人员发现 BlackBasta 勒索软件开始使用全新的软件样本文件。新版本的术演 BlackBasta 相比旧版本更新了许多代码（包括文件加密算法与库文件），拥有更低的勒索引擎检出率。恶意样本的软件大部分字符串都已经经过混淆，文件名也已经随机化，术演这阻碍反病毒引擎与 EDR 等安全产品的勒索检测。

技术分析

字符串混淆

与 Conti 勒索软件类似，软件BlackBasta 勒索软件开发人员似乎也使用了 ADVObfuscator 进行字符串混淆。术演如下图所示，勒索基于栈进行构建，软件并且使用异或操作对单个字节进行解密：

字符串混淆

目前，模板下载术演并非是勒索所有字符串都经过混淆处理。但可以预期的软件是，日后会有更多的术演字符串被混淆。

文件加密

BlackBasta 2.0 版本中给最重要的部分就是对加密算法的修改。最初，BlackBasta 勒索软件使用非对称 4096 位 RSA 公钥与对称 ChaCha20 算法进行加密。而且，RSA 算法是通过 GNU 多精度算术库（GMP）实现的源码下载 。而在最新的 BlackBasta 2.0 中，加密算法已经被椭圆曲线（ECC）和 XChaCha20 算法所取代。并且，算法实现转而使用 Crypto++。新版本使用的椭圆曲线算法为 secp521r1 ，内嵌的公钥为：

复制da:28:10:db:f5:ae:12:08:cf:dd:1f:10:80:48:00

32:38:1d:23:40:0c:ca:05:2c:5c:d2:79:1d:ae:8f

0a:74:a1:1c:79:b3:0c:38:21:aa:94:1a:4fASN1 OID: secp521r1NIST CURVE: P-521writing EC key-----BEGIN PUBLIC KEY-----MIGbMBAGByqGSM49AgEGBSuBBAAjA4GGAAQAUh/Ys2W3nDC9+hyIzHd3gfZQndkXjRfY+jqMsPJvhyEMlduU9Zy//crwjRlqnC+fS5YgMZVBVD6SQ+170YGMWHgBLjG4AnrBuX8vtLK6qt/taKLf65BKT9ooENv1rhIIz90fEIBIADI4HSNADMoFLFzSeR2ujwp0oRx5sww4IaqUGk8=-----END PUBLIC KEY-----1.2.3.4.5.6.7.8.9.10.11.12.

BlackBasta 2.0 在加密过程中使用被成为 DHIES 的加密模式，利用 Crypto++ 中的椭圆曲线集成加密方式（ECIES）生成每个文件的 XChaCha20 与基于哈希的消息认证码（MHAC）。在完成加密后，高防服务器BlackBasta 会向文件结尾追加一个 314 字节的数据，如下所示：

BlackBasta 2.0 加密文件

蓝色部分的 133 个字节是为每个文件临时生成的 secp521r1 公钥，接下来的 56 个字节是用于 XChaCha20 加密的密钥（32 字节）与随机数（24 字）。随后的红色部分是 HMAC（20 字节），灰色部分为空字节填充，橙色部分为加密文件的大小（2 字节）。香港云服务器最后的紫色部分为 flag（12 字节），攻击者依赖此处识别受害者。

为了提高加密速度，BlackBasta 根据文件大小使用 XChaCha20 对文件进行不同策略的加密。如果件小于 5000 字节，则整个文件将以 64 字节为单位进行加密。如果文件大于 64 字节且不是 64 字节的偶数倍，则不会加密最后的 64 字节块。如果文件小于 1GB ，BlackBasta 会交替加密 64 字节块并跳过 128 字节，直到文件末尾。源码库如下图所示：