探究BlackBit勒索内幕,揭秘TrustOne如何对抗暴力破解攻击
2022-06-24 01:21:40
BlackBit勒索软件自2022年9月首次被发现以来,以其持久化作战能力、高隐蔽性、逃避检测能力及损害系统恢复能力成为极具威胁的勒索工具。其攻击后果可能是毁灭性的,尤其针对企业级用户,可能导致数据永久丢失或高额赎金损失。
技术来源与改进
源代码与Loki Locker相似,但通过.NET Reactor保护程序阻碍安全分析,并改进了文件图标、名称及配色方案。
加密前准备:
复制自身到多个目录并创建计划任务实现持久化;
终止可能干扰加密的进程/服务,删除卷影副本和系统备份;
禁用防火墙及Windows Defender以逃避检测。
加密机制
使用CPGenKey函数生成随机密钥,经RSA算法加密后对文件数据加密;
修改加密文件名称格式为[攻击者邮箱][唯一系统ID][原始文件名].BlackBit,并更换默认图标;
设置新桌面背景,创建勒索信息文件info.hta和Restore-My-Files.txt。
攻击入口:RDP暴力破解
BlackBit主要通过RDP暴力破解获取初始访问权限,攻击者利用自动化工具尝试弱密码或默认凭据登录目标系统。
成功入侵后,加密主机文件并勒索赎金,对使用弱密码的系统威胁极大。
- EDR模块的实时检测与响应
高清日志记录为基础,结合威胁情报和IOA规则关联分析,实时识别暴力破解行为。
自动化网络封停:检测到攻击后,自动封停恶意IP,支持配置生效周期、时间及封停时长,封停记录可查且时长过后自动解封。
- 多层级病毒检测能力
病毒码更新:版本18.677.60(本地)、18.677.71(云)、18.677.00(全球码)已覆盖BlackBit公开样本检测。
梦蝶防病毒引擎:版本1.6.0.174可检测该类型病毒。
DDAN沙盒平台:通过行为分析有效识别BlackBit家族样本的恶意行为。
产品部署与更新
全面部署亚信安全产品,保持病毒码、引擎及沙盒平台组件及时更新。
用户行为规范
拒绝点击来源不明的QQ文件、邮件附件及链接;
从正规网站下载程序,避免使用盗版软件。
密码与网络配置
采用高强度密码(如12位以上混合字符),定期更换并避免重复使用;
关闭不必要的端口及网络共享,减少攻击面。
数据备份策略
遵循3-2-1规则:至少3个副本,2种不同格式存储,1份异地保存,确保数据可恢复性。
BlackBit勒索软件通过RDP暴力破解入侵系统,利用多重技术手段逃避检测并加密文件,对企业数据安全构成严重威胁。亚信安全TrustOne通过EDR实时检测、自动化响应、多层级病毒分析等技术,有效阻断暴力破解攻击链,结合用户侧的密码管理、端口控制及备份策略,可构建纵深防御体系,降低勒索风险。
热门标签
