再度活躍竟因手握最新攻擊利器

近期，360安全智腦監(jiān)測(cè)到Babuk勒索家族活動(dòng)數(shù)據(jù)異常。進(jìn)一步分析數(shù)據(jù)發(fā)現(xiàn)，本次活躍度提升的主要原因是：Babuk勒索家族的最新變種攜帶了新的攻擊利器導(dǎo)致。

從歷史記錄來(lái)看，該家族曾在早年間因源碼泄露導(dǎo)致其變種泛濫，最終也成為變種最為豐富的勒索家族之一。目前已監(jiān)控到的其攻擊方式，涵蓋了幾乎所有的勒索攻擊常見手法，而其可感染的系統(tǒng)也覆蓋了從Windows、Linux到VMware ESXi等多種常見平臺(tái)，是一款活躍度常年居高不下的勒索軟件。

兵出奇招，憑空創(chuàng)造自保空窗

本次事件的起因，是Babuk的最新變種在近期又增加了新的攻擊手段。該勒索軟件在安全軟件更新升級(jí)的防護(hù)空檔期發(fā)起“偷襲”。常規(guī)的安全軟件通常都具備較為嚴(yán)密的自我保護(hù)機(jī)制，能夠避免被木馬病毒輕易關(guān)閉。因此，Babuk勒索的最新變種有意利用了安全軟件更新升級(jí)的防護(hù)薄弱期，在其準(zhǔn)備進(jìn)行攻擊時(shí)，會(huì)嘗試啟動(dòng)安全軟件的升級(jí)流程。一旦成功，安全軟件很可能在升級(jí)安裝時(shí)臨時(shí)關(guān)閉自我防護(hù)，從而出現(xiàn)一個(gè)短暫的“自?？沾捌凇保鳥abuk勒索軟件此時(shí)便會(huì)抓住這個(gè)空窗期來(lái)結(jié)束安全軟件進(jìn)程。

根據(jù)對(duì)360云端大數(shù)據(jù)的匯總分析，此類攻擊較為典型的攻擊流程圖如下：

圖1. Babuk勒索最新攻擊手段攻擊流程示意圖?

360強(qiáng)力守護(hù)不受影響

面對(duì)這種另辟蹊徑的新型攻擊手段，360終端安全產(chǎn)品在設(shè)計(jì)之初便考慮到此類問題——攻擊者遠(yuǎn)程卸載、遠(yuǎn)程更新、強(qiáng)制刪除等對(duì)抗手法，均無(wú)法對(duì)360終端安全產(chǎn)品構(gòu)成實(shí)質(zhì)性威脅。同時(shí)，360安全產(chǎn)品可以對(duì)Babuk勒索最新變種的這一波攻勢(shì)，直接進(jìn)行有效攔截。

圖2. 360安全大腦攔截Babuk勒索軟件最新變種?

實(shí)際上，與Babuk本輪攻擊類似的手法在國(guó)內(nèi)并不罕見，360安全終端每天都能偵測(cè)到并攔截大量針對(duì)安全軟件的攻擊。

尤其是“卸載攻擊”——黑客通常會(huì)在獲取到一臺(tái)設(shè)備的權(quán)限后，首先嘗試卸載360安全產(chǎn)品，以清理這塊最大的“絆腳石”。而當(dāng)黑客發(fā)現(xiàn)無(wú)法卸載安全軟件時(shí)，又會(huì)再次嘗試結(jié)束安全軟件的進(jìn)程。

圖3. 360安全大腦阻止黑客的卸載操作?

由于360安全終端的自我保護(hù)能力必須擁有系統(tǒng)最高權(quán)限的驅(qū)動(dòng)才能關(guān)閉，利用高權(quán)限工具驅(qū)動(dòng)的攻擊方式應(yīng)運(yùn)而生?；鸾q劍、PCHunter等具有高權(quán)限的安全工具驅(qū)動(dòng)都被這種方式利用過。此外，多家殺毒軟件的驅(qū)動(dòng)程序也曾被利用過，我們已發(fā)現(xiàn)十余家頗具規(guī)模的國(guó)內(nèi)外主流安全廠商的驅(qū)動(dòng)曾被此類攻擊利用。此外，通過全面排查分析，360還發(fā)現(xiàn)了數(shù)十家規(guī)模不等的安全廠商的驅(qū)動(dòng)程序存在被利用的安全隱患……

而當(dāng)發(fā)現(xiàn)既無(wú)法卸載，又無(wú)法結(jié)束安全軟件的情況下，攻擊者還會(huì)嘗試通過模擬鼠標(biāo)點(diǎn)擊的方式來(lái)關(guān)閉安全軟件。對(duì)于此類模擬點(diǎn)擊的攻擊手段，我們也具備對(duì)應(yīng)的防護(hù)功能，避免終端產(chǎn)品被關(guān)閉。

圖4. 360安全大腦攔截模擬鼠標(biāo)點(diǎn)擊操作?

Babuk家族簡(jiǎn)介

Babuk又被稱作Babyk或Babuk Locker。該勒索軟件最早出現(xiàn)于2021年1月初，是一款采用RaaS模式的雙重勒索軟件——其不僅會(huì)加密受害者的文件，還會(huì)在實(shí)施加密前，竊取受害者系統(tǒng)中的重要數(shù)據(jù)，作為威脅受害者支付贖金的重要籌碼。

該家族在2021年5月最為活躍，參與了至少42起攻擊事件。但隨后因其組織內(nèi)部在竊取到的華盛頓警方數(shù)據(jù)處理問題上出現(xiàn)分歧，導(dǎo)致該團(tuán)伙一步步走向分裂，同時(shí)該家族的加密程序生成器也被公開。不過，就在同月，Babuk便在其數(shù)據(jù)泄露網(wǎng)站上宣布，將不再依賴加密受害者文件的運(yùn)營(yíng)模式，而是會(huì)重建暗網(wǎng)數(shù)據(jù)泄露網(wǎng)站，只進(jìn)行竊取數(shù)據(jù)攻擊。

而在2021年9月7日，一個(gè)自稱是Babuk開發(fā)人員的黑客在暗網(wǎng)論壇上公布了Babuk勒索軟件源碼。在此之后的Babuk多個(gè)衍生家族，以及2025年初聲稱再度回歸的Babuk2.0，都是基于該公開源碼進(jìn)行修改的變種版本。

圖5. Babuk泄露的源碼?

Babuk通常會(huì)關(guān)閉受害者系統(tǒng)中的安全和備份服務(wù)后再進(jìn)行加密，同時(shí)竊取數(shù)據(jù)用于“雙重勒索”策略。其傳播方式通常包括釣魚郵件、弱口令暴力開放的RDP端口以及利用各類軟件漏洞。Babuk傾向選擇支付能力強(qiáng)的目標(biāo)，一旦入侵，會(huì)全面破壞數(shù)據(jù)與系統(tǒng)，通常還會(huì)刪除備份，以迫使受害者交付贖金。2025年后的變種版本則融入了區(qū)別于傳統(tǒng)傳播手段的網(wǎng)絡(luò)詐騙方案。

Babuk家族在國(guó)內(nèi)一直有傳播，廣東省是該家族的主要傳播區(qū)域，北京、上海等經(jīng)濟(jì)發(fā)達(dá)城市也偶有傳播。