LUNA 勒索软件攻击模式分析

主要发现

• LUNA 是一种勒索软件，通过使用 Rust 开发来实现跨平台功能
• 其 Windows 功能与其他勒索软件类似
• 其 Linux 功能虽然可以正常运行，但不如 Windows 变体那么优雅

前言

LUNA 勒索软件（Elastic 追踪的名称为 REF5264）是一种基于 Rust 的勒索软件，卡巴斯基首次在其报告中指出，该报告于 2022 年 7 月发布。Rust 作为一种编程语言，在开发人员社区中以易于实现可在各种目标操作系统上运行的跨平台软件而闻名。它之所以能够做到这一点，是通过一组方便的工具来抽象出一些操作系统的特殊性，从而可能使恶意软件作者更加专注于核心功能。

根据卡巴斯基的报告，我们收集了两个 LUNA 勒索软件样本：（1）一个 Linux ELF 二进制文件，以及（2）一个 Windows PE 可执行文件。

本研究涵盖

• 每个样本的执行和行为
• 加密机制的描述
• 我们样本之间的比较
• 与其他勒索软件的比较
• 检测机会

执行链

在以下章节中，我们将描述 Linux 和 Windows 的执行链。

Linux 执行

我们的 Linux 样本需要一个参数才能执行。选项为 -file [文件] 加密单个文件，或 -dir [目录] 遍历并加密指定目录的内容并删除勒索说明。如果执行时没有参数，Linux LUNA 会返回一个帮助页面，其中包含使用两个可用参数之一的说明。如果使用 -file 和 -dir 参数（包括多个文件或目录）执行，则会使用所有参数。

对于加密系统目录或文件没有任何功能保护。我们通过加密 /etc 证明了这一点。执行循环按预期继续，直到加密了 shadow 和 sudoers 文件，并且该进程无法验证进一步文件访问的权限。测试机器随后变得无响应，需要恢复到之前的快照。加密这些关键系统文件会阻止恶意软件尝试访问进一步加密的特权文件和目录。

所有加密的文件都会附加 .Luna 扩展名，例如 /etc/passwd.Luna。如果使用 -dir 标志，则会在每个加密目录的根目录以及子目录（例如 /etc/readme-Luna.txt 和 /etc/ssl\readme-Luna.txt ）中创建一个 readme-Luna.txt 勒索说明。虽然使用 -file 标志加密单个文件时不会删除勒索说明，但加密的文件仍然附加了 .Luna 扩展名。

您可能会注意到上述完整路径 /etc/ssl\readme-Luna.txt 中使用的是反斜杠而不是正斜杠。这是 LUNA 在构建勒索说明的完整路径时硬编码附加到子目录的 **** 的一个有趣的人工痕迹。这种行为是预期的，并且在 Windows 环境中不会被注意到，但是当我们在 Linux 中看到它时，引起了我们的注意。它似乎没有阻碍功能。

勒索说明以 Base64 格式嵌入到二进制文件中，并放置在目标目录的根目录中。

勒索说明包含语法和拼写错误，列出了两个 ProtonMail 电子邮件地址。ProtonMail 是一个位于瑞士的端到端加密电子邮件服务。ProtonMail 因使用客户端加密来保护电子邮件内容和用户数据，然后才将其发送到 ProtonMail 服务器，因此深受注重隐私的个人和组织的欢迎。

“您所有文件都被移至安全存储”这句话可能是“加密”的翻译错误，也可能是试图欺骗受害者，让他们相信他们的数据已被加密和盗取，以便以后用于勒索。这也可能指的是在加密发生之前要执行的某些操作。此恶意软件不具有网络连接方面。

“我们可以展示你的真面目”这句话存在勒索威胁，但没有像CUBA 勒索软件之类的其他勒索活动组织那样观察到勒索网站。

Linux 排除项

我们的 Linux LUNA 样本包含来自 Windows 实现的功能性但很大程度上不必要的排除项。在将文件发送到 add_file 函数进行加密之前，将在 -dir 执行流程中执行这些检查。例如，请参见下面的 .ini 、 .exe 、 .dll 和 .lnk 扩展名以及 OpenServer 、 Windows 、 Program Files 、 Recycle.Bin 、 ProgramData 、 AppData 和 All Users 目录。值得注意的是，虽然 .Luna 扩展名包含在残余排除项中，但它同时存在于 Windows 和 Linux 中。

Linux LUNA 会检查 Windows 文件扩展名和文件夹，并且不会在 Linux 受害者上加密具有指定扩展名的文件。

检查 .Luna 扩展名很有用，因为它会阻止重新加密已加密的文件。

Windows 执行

我们发现的 Windows 样本是一个功能更完整的产品，其中包含其他成熟勒索软件系列中的许多功能。它仍然包含 -dir 和 -file 标志，但现在如果恶意软件在没有参数的情况下运行，Windows LUNA 将在进入 -dir 执行循环之前执行一些初步的防御规避、文件保护准备和枚举措施。此外，在 -dir 执行流程中，Windows LUNA 文件和目录排除项是有效的，并且有助于保护关键系统进程免受加密的破坏。这与在 Linux LUNA 实现中观察到的情况不同，后者不排除可能影响系统稳定性的敏感操作系统目录或文件。

LUNA 使用服务和进程终止来消除其他程序锁定的任何文件的冲突，以成功加密它们，同时禁用可能阻止勒索软件执行的安全产品。它通过利用内置的 Rust 进程构建器 ( std::sys::windows::process::Command::new ) 来调用三个带有各自预定义命令行参数的新进程来实现此目的。

• 服务控制
• Net
• TaskKill

服务控制

服务控制是一个 Windows 实用程序，用于修改注册表和服务控制管理器数据库中服务的条目。在这种情况下，它用于确保停止的服务无法重新启动并中断恶意软件执行。

• "C:\WINDOWS\system32\sc.exe" config [服务] start=disabled
  • "C:\WINDOWS\system32\sc.exe"：服务控制可执行文件
  • config [服务]：指定要修改的服务（例如，WinDefend）
  • start=disabled：将服务的启动类型设置为“禁用”

LUNA 在发出服务禁用命令之前不会检查服务是否存在。因此，它通常会在控制台上收到1060 错误，表明 sc.exe 尝试修改不存在的服务。

我们的 LUNA 样本尝试禁用 253 种不同的服务。有关完整列表，请参阅附录：Windows 服务终止列表。

Net

Net ( net.exe ) 是一个 Windows 实用程序，用于命令行操作，以控制用户、组、服务和网络连接。在此案例中，它用于停止已经被 sc.exe 阻止重启的正在运行的服务。

• "C:\WINDOWS\system32\net.exe" stop [服务] /y
  • "C:\WINDOWS\system32\net.exe" : Net 可执行文件
  • stop [服务]: 指定要停止的服务的名称（例如，WinDefend）
  • /y : 执行命令时不先提示确认操作

同样，没有检查服务是否真的在受害者机器上运行。对于 Net，这会表现为每次尝试停止不存在的服务时，控制台上都会打印 2185 错误。

TaskKill

TaskKill ( taskkill.exe ) 是一个 Windows 实用程序，用于通过进程 ID 或映像名称结束任务或进程。LUNA 使用 TaskKill 通过名称终止可能通过保持对目标加密文件的文件访问锁来干扰恶意软件运行的进程。

• "C:\WINDOWS\system32\taskkill.exe" /im [进程名称] /f
  • "C:\WINDOWS\system32\taskkill.exe" : TaskKill 可执行文件
  • /im [进程名称]: 指定要终止的进程的名称（例如，msmpeng.exe）
  • /f : 指定强制结束进程

再次强调，没有检查进程是否真的在运行。TaskKill 会为尝试杀死不存在的进程而产生“未找到进程”的错误并打印到控制台。

我们的样本包含一个硬编码的 997 个要杀死的进程列表。有关完整列表，请参阅附录：Windows 进程终止列表。

磁盘枚举

接下来，在没有参数的情况下执行的 Windows LUNA 使用一个名为 get_all_drives 的函数，通过遍历英文字母并使用 Rust 库 std::fs::read_dir 验证驱动器是否映射到机器上来暴力枚举所有可用的驱动器。如果卷存在，它将在稍后阶段被标记为加密。

然后，所有已识别的卷都将传递给 LUNA 的 walk_dir 函数，该函数将放下勒索信、枚举子目录并使用与 Linux 版本完全相同的勒索信来加密文件。

Windows 排除项

然而，与 Linux 版本不同，Windows LUNA 文件和文件夹排除项会被遵守，以防止使目标机器无法操作或意外地过早停止加密。

我们将这些排除项与我们的 CUBA 勒索软件恶意软件分析 报告中的排除项进行了比较。LUNA 不包括在 CUBA 分析中识别的 .sys 或 .vbm 文件扩展名。此外，LUNA 排除所有 \Program Files 、 \ProgramData 和 \AppData 目录及其子目录，而 CUBA 则加密这些目录或对子文件夹的排除范围更窄。这看起来像是一种过于宽泛的排除方法，因为它会错过一些如果加密会造成破坏的有价值的数据。

加密实现

LUNA 使用一种多步骤的加密实现方法，旨在使作者的解密工具成为恢复目标文件的唯一已知方法。

加密过程

恶意软件作者在编译前生成一对公钥/私钥，并将公钥嵌入到 LUNA 二进制文件中，以供恶意软件稍后使用。作者保留私钥，直到受害者满足他们的要求为止。

在许多情况下，勒索软件攻击者会为每个受害者组织生成新的“作者”密钥对。

在 add_file 函数中，每次 LUNA 遇到要加密的新文件时，恶意软件都会生成其自己的与该文件关联的公钥/私钥对。它通过使用开源库 x25519-dalek x25519 椭圆曲线 Diffie-Hellman 密钥交换以及 RngCore::fill_bytes 随机数生成器用于熵来实现，该生成器内置于 Rust 中。

对于等效密钥大小，椭圆曲线 (ECC) 密钥生成提供了比 RSA 更快的性能。通常，对于给定的密钥大小，ECC 提供更强的加密强度，并且从私钥派生公钥的速度更快。当为受害者机器上要加密的每个文件生成新的密钥对时，这种速度提升会有所帮助。

此时，有两组公钥/私钥：作者的和恶意软件的。

然后，LUNA 将使用恶意软件生成的私钥和作者嵌入的公钥来派生 AES 密钥。

然后可以使用计数器 (CTR) 模式中的 AES 和初始化向量 (IV) 按块加密文件。硬编码的 IV 是字符串“Luna”，用零填充以达到 AES-CTR 密码算法所需的 16 个字节长度。

初始化向量广泛用于密码学中，以提供输入来初始化密码算法的状态，然后再加密明文。在大多数其他情况下，它是随机化的并与公钥共享。这种随机化提供了与哈希密码的 盐 类似的功能。

使用 std::io::Seek trait，Rust 能够抽象出操作系统相应的 seek ，即 Linux 的 lseek 。恶意软件使用此函数从目标文件读取数据，对其进行加密，然后将其写回原始文件。

LUNA 首先用加密的内容覆盖原始文件，然后附加为该文件创建的恶意软件的公钥和字符串“Luna”作为文件标记。然后，将扩展名 .Luna 添加到文件名。

此时，不再需要 AES 和恶意软件的私钥，必须销毁它们，这样只有作者的私钥才能用于解密。

然后，LUNA 会移动到下一个文件并重新开始。

解密过程

为了解密使用此方法加密的文件，我们需要 AES 密钥和 IV。IV 被硬编码到恶意软件中并且已知，但是，AES 密钥在文件加密后就被丢弃了。AES 密钥最初是使用恶意软件的私钥和作者的公钥生成的，但恶意软件的私钥也被丢弃了。

虽然我们在加密文件中也有恶意软件的公钥，但需要作者的私钥与恶意软件的公钥结合来派生 AES 密钥。AES 密钥与硬编码的 IV 结合使用，然后可以解密每个加密的块。

下面您可以看到一个图形，概述了 LUNA 勒索软件的加密和解密过程。

块加密

像许多勒索软件系列一样，LUNA 根据文件大小以不同的方式加密文件。这有助于提高性能，并允许勒索软件在更短的时间内使更多的数据不可用。

如果文件小于 320 KB，则使用上述方法加密文件的全部内容。如果文件大小在 320 KB 和大约 3 MB 之间，则仅加密前 320 KB。对于大于大约 3 MB 的文件，LUNA 将加密 320 KB 的块，并通过基于文件大小在运行时计算的字节值来派生块之间的空间。

LUNA 加密 POC

如果您有兴趣亲自尝试一下以查看加密/解密过程的实际效果，请查看 Elastic 的恶意软件分析和逆向工程 (MARE) 团队在 LUNA 加密 POC 附录中的 Python POC。此脚本说明了 LUNA 加密/解密机制的实现。

总结

这些样本在 -dir 和 -file 执行路径的核心功能、使用的加密机制和硬编码值方面几乎相同。硬编码值相似之处包括：

• 扩展名排除值
• 文件夹排除值
• 初始化向量
• 作者的公钥
• 勒索软件注释

我们查看的两个 LUNA 样本之间最明显的区别是，在没有提供参数的情况下，Windows PE 样本的增强功能以及对 Windows 的扩展名和文件夹排除项的遵守。

两个操作系统包之间存在许多差异；为所有被勒索的端点提供单个解密工具可能更方便，而与操作系统无关。统一的加密和解密框架可能表明 LUNA 勒索软件用于 勒索软件即服务 实现，或者 LUNA 作为可以针对特定活动定制的工具包提供。

这些差异和相似之处使我们对这些样本得出以下评估：

1. Windows 样本比 Linux 样本成熟得多，这反映在驱动器枚举、服务禁用/停止、进程终止以及为使恶意软件能够广泛部署而采用的排除项上，而无需详细了解受害者机器。

2. Linux 样本包含残留的 Windows 功能。可以修改排除项以适应某些特定的 Linux 发行版，但要在多样化的 Linux 生态系统中创建一个具有广泛覆盖范围的列表可能是一个挑战。

3. 与其他成熟的勒索软件样本相比，该服务的禁用/停止和进程终止列表非常庞大。虽然这不会妨碍恶意软件的加密功能，但它会产生大量的噪音，可能会提醒防御者。对许多不存在的服务调用 sc config [service] start=disabled 和 net stop 253 次，或者对不存在的进程调用 taskkill /im 997 次，为在加密开始之前阻止勒索软件执行提供了绝佳的机会。如果像其他勒索软件活动一样，事先进行服务和进程枚举，则会安静得多。

4. Linux 样本不包含 Windows 变体中内置的保护措施。这导致 Linux 样本加密了验证系统文件权限所需的文件，例如 sudoers 和 passwd 文件。Linux 样本未包含保护措施的原因可能包括：

   1. 恶意软件作者对 Linux 系统文件和目录的理解不够深入，不知道应该排除哪些；
   2. 时间限制阻止了成熟的 Linux 样本的完成；
   3. 缺乏广泛可用的 Linux 勒索软件排除列表；
   4. 由于该样本是用跨平台的 Rust 开发的，因此包含 Linux 样本是机会主义的；或者
   5. Linux 功能被作为“勒索软件即服务”产品的“卖点”包含在内

观察到的攻击者战术和技术

战术

使用 MITRE ATT&CK® 框架，战术代表技术或子技术的原因。它是攻击者的战术目标：执行操作的原因。

• 发现
• 防御规避
• 影响

技术/子技术

技术和子技术表示攻击者如何通过执行操作来实现战术目标。

观察到的技术/子技术

• 主机上的指示器清除
• 文件和目录发现
• 系统服务发现
• 数据加密以产生影响

检测

我们关于勒索软件的检测/保护理念侧重于加密前的检测，此时防御者仍有机会在数据丢失之前阻止恶意软件的执行。

YARA

对于 LUNA Windows 和 Linux 变体，下面的YARA 规则会检测嵌入在恶意软件中的字符串以及与核心功能相关的字节序列。

rule Multi_Ransomware_LUNA {
    meta:
        Author = “Elastic Security”
        creation_date = "2022-08-02"
        os = "Linux, Windows"
        arch = "x86"
        category_type = "Ransomware"
        family = "LUNA"
        threat_name = "Multi.Ransomware.LUNA"
        reference_sample = "1cbbf108f44c8f4babde546d26425ca5340dccf878d306b90eb0fbec2f83ab51"
    strings:
        $str_extensions = ".ini.exe.dll.lnk"
        $str_ransomnote_bs64 = "W1dIQVQgSEFQUEVORUQ/XQ0KDQpBbGwgeW91ciBmaWxlcyB3ZXJlIG1vdmVkIHRvIHNlY3VyZSBzdG9yYWdlLg0KTm9ib"
        $str_path = "/home/username/"
        $str_error1 = "Error while writing encrypted data to:"
        $str_error2 = "Error while writing public key to:"
        $str_error3 = "Error while renaming file:"
        $chunk_calculation0 = { 48 8D ?? 00 00 48 F4 48 B9 8B 3D 10 B6 9A 5A B4 36 48 F7 E1 48 }
        $chunk_calculation1 = { 48 C1 EA 12 48 89 D0 48 C1 E0 05 48 29 D0 48 29 D0 48 3D C4 EA 00 00 }
    condition:
        5 of ($str_*) or all of ($chunk_*)
}

端点规则

对于 Windows LUNA，在“无参数”执行流程中，有机会在加密之前阻止执行。如前几节所述，此执行流程会尝试禁用和停止 253 个服务，并终止 997 个进程，无论它们是否存在于受害者计算机上。

我们的威胁研究和检测工程团队 (TRADE) 调整并推广了一个行为端点规则，该规则针对这些加密前的环境准备 TTP。

以下规则可识别并阻止禁用 Windows Defender 服务的尝试。

query = '''
process where event.action == "start" and
  process.pe.original_file_name : ("net.exe", "sc.exe", "cmd.exe") and
  process.command_line : ("*disabled*", "*stop*") and process.command_line : ("*WdNisSvc*", "*WinDefend*") and
    (process.parent.executable :
                    ("?:\\Windows\\Microsoft.NET\\*",
                     "?:\\Users\\*",
                     "?:\\ProgramData\\*") or
    process.parent.name : ("rundll32.exe", "regsvr32.exe", "wscript.exe", "cscript.exe", "powershell.exe", "mshta.exe"))
'''

optional_actions = []
[[actions]]
action = "kill_process"
field = "process.entity_id"
state = 0

参考

以下内容在上述研究中被引用

• https://securelist.com/LUNA-black-basta-ransomware/106950/
• https://www.virustotal.com/gui/file/1cbbf108f44c8f4babde546d26425ca5340dccf878d306b90eb0fbec2f83ab51
• https://www.virustotal.com/gui/file/ad8d568811e05e12cde78f76c3b7cbbde0d20aee5b4e918a3a8d515f5e242bb6

附录

LUNA 加密 POC

我们提供了一个用 Python 编写的加密 POC，它模拟并可视化了 LUNA 勒索软件的加密实现。

注意：与 LUNA 一样，每次运行脚本时，加密输出都会不同，因为每次都会生成私钥。

先决条件

• Pyton 3
• cryptography 和 termcolor Python 模块

用法

• 将以下脚本另存为 luna_encryption_poc.py
• 使用 pip install --user cryptography termcolor 安装依赖项
• 使用 python luna_encryption_poc.py 执行脚本

from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
from cryptography.hazmat.primitives.asymmetric import x25519

from termcolor import colored

# Malware author generates public key and embeds into malware, keeps private key for decryption later
author_private_key = x25519.X25519PrivateKey.generate()         # Unknown author's priv_key generation method
author_embedded_public_key = author_private_key.public_key()

# Malware generates key pair
malware_private_key = x25519.X25519PrivateKey.generate()
malware_public_key = malware_private_key.public_key()

# Serialization of malware pub_key
malware_public_bytes = malware_public_key.public_bytes(encoding=serialization.Encoding.Raw,
  format=serialization.PublicFormat.Raw)
print("Malware Public Key:  ", colored(malware_public_bytes.hex(), "blue"))

# AES key generated by malware's private key and author's embedded public key
# malware_private_key is discarded after this step and not needed for decryption
shared_key_generated = malware_private_key.exchange(author_embedded_public_key)
print("Generated Shared Key (AES): " + colored(shared_key_generated.hex(), "cyan"))

# Encryption Step with AES + IV null-padded LUNA string
iv = bytearray(b'4c756e6100000000')                             # 'Luna....' 16 bytes sized needed for AES CTR

# AES stream cipher (CTR) created using AES shared key and IV
cipher = Cipher(algorithms.AES(shared_key_generated), modes.CTR(iv))
encryptor = cipher.encryptor()

# String to be encrypted
plaintext = b"You know, for search!"
print("Plaintext: ", colored(plaintext, "green"))
print("Plaintext.hex(): ", colored(plaintext.hex(), "green"))

# Encryption of string using AES stream cipher
ct = encryptor.update(plaintext) + encryptor.finalize()

# Mock encrypted file with cipher text + public bytes + file marker
file_marker = b"Luna"                                           # 0x4c756e61
encrypted_file = ct + malware_public_bytes + file_marker

file_ciphertext = encrypted_file[:-36]
pub_key_from_encrypted_file = encrypted_file[-36:-4]
file_marker_from_encrypted_file = encrypted_file[-4:]

print("Encrypted File contents: \n",
    colored(file_ciphertext.hex(), "red"),
    colored(pub_key_from_encrypted_file.hex(), "blue"),
    colored(file_marker_from_encrypted_file.hex(), "yellow"))
print("\t",
    colored("Encrypted content", "red"), "        ",
    colored("Embedded malware's pub_key", "blue"), "       ",
    colored("Embedded file marker", "yellow"))

# Serialization
malware_public_key_from_file = x25519.X25519PublicKey.from_public_bytes(pub_key_from_encrypted_file)

# AES key derived from author's private key and malware embedded public key
shared_key_derived = author_private_key.exchange(malware_public_key_from_file)
print("Derived Shared Key (AES): ", colored(shared_key_derived.hex(), "cyan"))

# Decryption using derived AES shared key and IV
redo_cipher = Cipher(algorithms.AES(shared_key_derived), modes.CTR(iv))
decryptor = redo_cipher.decryptor()
result = decryptor.update(file_ciphertext) + decryptor.finalize()
print("Decrypted plaintext: ", colored(result, "green"))

此 Python 脚本将显示恶意软件公钥、共享 AES 密钥、纯文本字符串、纯文本的十六进制值、加密文本，最后将加密文本解密回原始纯文本字符串。

Windows 服务终止列表

Windows 进程终止列表