#娱乐向 #业余向 从各大杀软对篡改版 BlackSun 脚本勒索的反应看特征提取强度

anthonyqian

1. BlackSun 勒索脚本的背景介绍

根据VirusTotal的数据，BlackSun 勒索最早出现在2021-09-20，隔日便出现在卡饭的样本区，从各家测试结果来看，状况还是比较惨烈的。BlackSun 勒索和大多数基于 PowerShell 的勒索不同，它不会下载有效载荷，也不会将 dll 或 exe 反射性地加载到 PowerShell 进程的内存中。BlackSun 勒索不但能够以 AES256 算法加密本机文件，还能够在本地网络内实现自我传播，还是比较有意思的。虽然这种勒索也许并没有大规模地应用于真实世界的攻击中，但由于其代码简洁明了的特点，可以被用来当作简单测试杀软的样本（https://blogs.vmware.com/securit ... -of-powershell.html）。

2. BlackSun 目前的入库情况

现在已经过去几个月了，BlackSun 勒索已经被各大厂商入库的差不多了。



如上图，基本上主流厂商都入库了。需要注意的是，赛门铁克/诺顿最近在VT上似乎罢工了，但我印象里赛门铁克是杀的，检测名称是Trojan.Gen.NPE，这种报法显而易见是基于 MD5 的拉黑，不能抵御 BlackSun 勒索的任何形式的变种，因此默认下文中的挑战一失败。

3. BlackSun 变种测试（以下测试均基于上一次测试的样本进行进一步修改）

1) 挑战一：简单的 MD5 修改工具修改

利用卡饭 @henry217 编写的 MD5 修改工具，在 BlackSun 的代码末尾加入一串随机的字符串，来区分上图中哪些杀软是单纯的 MD5 拉黑。

测试结果：



如上图，报毒数从 30 降到了 18，因此有 12 个杀软只是最基本的 MD5 拉黑。经过比对后发现，Avira（红伞系）、Cynet、Ikarus、Jiangmin、Lionic（著名卡巴BD跟屁虫）、Microsoft、Sophos、Tencent、Trend Micro 卒，这几个杀软没有仔细提取过特征，只是简单的 MD5 拉黑，让人比较失望的是小红伞、趋势、Ikarus，因为这几个在报毒名中都体现了 BlackSun，然而并没有提取特征。有趣的是 MAX 的所谓的 ai Score，简单在代码末尾加了随机字符便让分数降低了 11 分。

2) 挑战二：随机删除代码注释

挑战二也没啥难度，就是随机删除了三处代码行注释（#...），对整体毫无影响，然而结果是让人惊讶的。

测试结果：



可以发现，报毒数量再一次骤降，从 18 降到了 8。通过比对可以发现，BD 系、大蜘蛛、ESET、MAX 卒，让人意外的是大蜘蛛，因为这款杀软都是以特征提取精准闻名，然而简单的删除了代码注释就让它的引擎失灵。通过进一步测试发现，实体机版的 ESET 可以通过这一阶段的挑战。

3) 挑战三：修改一个变量名 + 修改要加密的文件类型

挑战三难度也比较低，主要是修改了一个变量名 $ArrFileExt 为 $ArrrrrFileExtension，然后从要加密的文件类型中删去 .dotx，加上 .wps。同样是小修小改。

结果如下：



报毒数降了一个，但是 ZoneAlarm 用的是卡巴斯基的病毒引擎，很奇怪为啥突然不报了。总的来看，这样的修改仍旧没有难住这几款杀软。卡巴斯基、McAfee、Avast、瑞星还有 QuickHeal 表现不错！通过进一步测试发现，实体机版的 ESET 可以通过这一阶段的挑战。

4) 挑战四：修改加密后文件的后缀名+修改勒索信

把加密的后缀从 .blacksun 改成 .yellowsun，然后修改了一下勒索信的内容，主要是邮箱地址和赎金金额。然而报毒数并没有变化！上面这些引擎真的还不错。通过进一步测试发现，实体机版的 ESET 无法通过这一阶段的挑战。

结果就不贴了。

5) 挑战五：删除篡改桌面壁纸操作的相关代码

直接删除篡改桌面壁纸操作的相关代码，包括“黑太阳”图片的 Base64 编码，这个步骤不涉及核心加密传播流程。

结果如下：



至此，McAfee、瑞星卒，但这两款杀软能到这一步，已经非常强了！卡巴、Avast、还有印度的 QuickHeal 真的难突破。通过进一步测试发现，实体机版的 ESET 无法通过这一阶段的挑战。

6) 挑战六：修改网络传播相关的值+修改公钥证书

最后一个挑战，修改了网络传播相关的值以及修改公钥证书，然而，还是没有能够突破卡巴、Avast、还有印度的 QuickHeal。。。通过进一步测试发现，实体机版的 ESET 无法通过这一阶段的挑战。



7) 附（yu）加（le）挑战

将代码中的所有 Blacksun 改为 Yellowsun，虽然此举不能确保修改后的“Blacksun”勒索能够顺利运行，但毕竟是娱乐挑战嘛。


终于，Avast、QuickHeal 停止了报毒，卡巴一枝独秀，但是报法从原来的疑似特征杀改为了 HEUR 启发杀，有意思。通过进一步测试发现，实体机版的 ESET 无法通过这一阶段的挑战。

8) 国产杀软的表现

由于国产引擎貌似没有上VT，所以要测试只能一款杀软一款杀软单独测试了。

① 火绒

原始样本检出，报 Ransom/PS.LockFile.c，感觉是一个特征查杀。直接用附加挑战的“魔改版”脚本去扫描，好家伙，同样报Ransom/PS.LockFile.c，有理由相信火绒能够通过之前的挑战一~挑战六。

② 智量

原始样本检出，报 Trojan.Ransom.Generic，感觉不是特征杀，用了挑战一的样本尝试扫描，果然就不报了。

③ 360 杀毒极速版（鲲鹏引擎打开）

原始样本检出，报 Trojan.Generic，听说是人工入库的~ 但是和智量一样，用了挑战一的样本尝试扫描，没有报毒。

4. 结论

• 首先要指出的是，这个测试仅仅只针对了 BlackSun 这一个勒索样本，不能够完全反应一款杀软的启发能力或者是特征提取能力。
• 话虽如此，仅就本测试而言，卡巴斯基、Avast、火绒是主流杀软里面特征提取最强的。同样很出色的是 McAfee、瑞星。
• 期待有大佬进行类似的测试呀~
  

kuroandsan

很有趣，我还以为咖啡是单纯的云拉黑器

正在缓冲

我一直以为Avast拉黑勒索都是只拉黑MD5

anthonyqian

kuroandsan 发表于 2022-3-20 05:25
很有趣，我还以为咖啡是单纯的云拉黑器

咖啡只有RDN/xxxx和 JTI/Suspect 这两种是单纯的MD5拉黑

anthonyqian

正在缓冲 发表于 2022-3-20 08:39
我一直以为Avast拉黑勒索都是只拉黑MD5

Avast似乎只有FileRepMalware才是MD5拉黑。上次有个Fake installer的样本，从毒网下载样本，hash会变化，Avast、ESET还有BD是唯三能杀更新后的样本的

wangyuhe

瑞星硬了

kuroandsan

anthonyqian 发表于 2022-3-20 08:58
Avast似乎只有FileRepMalware才是MD5拉黑。上次有个Fake installer的样本，从毒网下载样本，hash会变化， ...

avast:malware-gen

anthonyqian

kuroandsan 发表于 2022-3-20 09:19
avast:malware-gen

那个样本Avast报的是Trojan-gen

↓★x

如果把这一项组策略打开，似乎加密尝试会失败，因为使用了允许范围之外的加密算法






改MD5+删除注释后，BD个人版运行脚本无任何反应

anthonyqian

↓★x 发表于 2022-3-20 11:23
如果把这一项组策略打开，似乎加密尝试会失败，因为使用了允许范围之外的加密算法

这个组策略一般是禁用的吧

BD 拉跨了，还好这个样本似乎没有传播开来 说实话 我真没想到删个注释就会过掉那么多杀软。。。