Bluesky勒索软件深度技术分析

　　Bluesky勒索软件深度技术分析恐吓软件行动一种时兴的木马，近年来已成为最为常睹的安乐威逼之一。与其他威逼分歧，恐吓软件先向受害者评释本人的身份，再通过加密的形式应用户数据资产或谋划资源无法寻常应用，而克复数据资产的措施一般只可是付出昂贵的用度。。

　　BlueSky行动近期涌现的一种恐吓软件变种，正在本年3月份初次展示，正在6月末先河发作。它的极少恐吓软件样本以“MarketShere.exe”和“SecurityUpdate.exe”的款式正在线分发，正在入侵宗旨之后，BlueSky会加密受劝化呆板上的文献，然后增加“.bluesky”文献扩展名。同时它还会天生两个文献，分离是：

　　BlueSky的奉行流程如下：动态加载 API、稠浊字符串、采用反调试身手、举办权限提拔、天生受害者 ID、对文献举办加密、天生赎金知照书。

　　其顶用到了很众反认识身手，包含字符串加密和反调试机制，使其也许稠浊Windows API 函数名称并应用间接移用来解析API。其它，BlueSky应用DJB散列函数对API名称举办谋划，并将它们与代码中的含混哈希值举办对照，以便确切导入所需的模块。

　　圭臬还移用NtSetInformationThread并应用ThreadHideFromDebugger API荫藏线程，线程对换试器荫藏后，它将连续运转，但调试器不会收到与该线程干系的事务。该线程可能奉行反调试搜检，比如代码校验、调试象征验证等。然则，倘使荫藏线程中有断点，或者对换试器荫藏了主线程，那么过程就会瓦解，调试器就会卡住。

　　COM提拔名称（COM Elevation Moniker）身手应允运转正在用户账户支配（UAC）下的使用圭臬应用提拔权限的措施来激活 COM 类，以此来提拔 COM 接口权限。该措施的宗旨接口是 ICMLuaUtil，该接口存正在于 CMSTPLUA 组件中，应用 OleViewDotNet 东西查看体例中的 COM 接口属性新闻，找到 CMSTPLUA 组件：

　　BlueSky 通过谋划机卷新闻、呆板GUID、数字产物ID和安设日期值的MD5哈希，来天生独一的用户ID：

　　与其他恐吓软件一般包蕴文献扩展名列外以识别适当前提的加密文献分歧，BlueSky会创修一个正在文献加密历程中废除文献的扩展名列外，整个的清单如下：

　　如下图所示，BlueSky 应用众线程部队举办加密。启动的个中一个担任文献加密，另一个担任列举当地文献体例上的文献，并将挂载的收集共享增加到部队中。这种众线程架构与 Conti (Ransomware) v3 的代码彷佛，更加是收集搜寻模块是 Conti v3 的无误复成品。然则文献加密例程存正在某些差别。比如，Conti v3 应用基于 RSA 和 AES 的文献加密，而BlueSky 应用基于 Curve25519 和 ChaCha20 的文献加密。

　　BlueSky 的文献加密与 Babuk Ransomware 相同——都应用Curve25519（非对称加密） 为主机天生公钥，并与攻击者的公钥天生共享密钥。天生椭圆弧线密钥对后，BlueSky 谋划出共享密钥的哈希值，并应用它为 ChaCha20 算法天生文献加密密钥。结尾，它读取文献缓冲区，应用 ChaCha20（对称加密） 对其举办加密并更换原始文献的实质，如下图所示。

　　加密达成之后会天生赎金知照的文档和网页，个中克复 ID 便是保全正在注册外项 RECOVERYBLOB 中的值。

　　1、榜样上彀举止，不下载安设未知的软件，不点开来源不明的文档、图片、音频视频等；

　　8、举办厉酷的分隔，相合体例、办事尽量不盛开到互联网上，内网中的体例也要通过防火墙、VLAN或网闸等举办分隔。