新一代勒索問(wèn)世

近期，360反勒索服務(wù)團(tuán)隊(duì)接到多起關(guān)于Kalxat勒索軟件攻擊的反饋。經(jīng)分析發(fā)現(xiàn)，這種新型勒索軟件擁有非常高效的文件加密機(jī)制，并可以多級(jí)動(dòng)態(tài)調(diào)整加密策略，具備大量配置與擴(kuò)展屬性，屬于新一代的先進(jìn)勒索軟件。根據(jù)受害者反饋，Kalxat會(huì)在系統(tǒng)中悄然加密各類(lèi)文件，并將其擴(kuò)展名修改為".kalxat"，同時(shí)留下勒索信息，要求支付贖金以獲取解密工具。

在入侵傳播方面，Kalxat則表現(xiàn)出了明顯的定向攻擊特征。該勒索軟件主要針對(duì)Windows服務(wù)器發(fā)起攻擊。其加密策略也是針對(duì)服務(wù)器上的關(guān)鍵數(shù)據(jù)——如數(shù)據(jù)庫(kù)文件，進(jìn)行完整的全量加密。而對(duì)于其他非關(guān)鍵文件，其采用部分加密策略，以加快整體加密速度。此外，該勒索軟件還會(huì)執(zhí)行一系列系統(tǒng)操作，包括大量修改注冊(cè)表項(xiàng)、禁用Windows Defender、清除系統(tǒng)事件日志和安全日志等，以規(guī)避安全檢測(cè)并確保攻擊成功。

Kalxat采用了高度模塊化的設(shè)計(jì)：勒索信內(nèi)容、加密文件擴(kuò)展名、RSA公鑰等關(guān)鍵參數(shù)，均通過(guò)獨(dú)立的配置文件進(jìn)行配置。這也使攻擊者可以輕松地為不同目標(biāo)進(jìn)行不同版本的定制化攻擊，同時(shí)也增加了安全研究人員的分析難度。這種設(shè)計(jì)使得Kalxat具有較強(qiáng)的變種生成能力，各個(gè)攻擊實(shí)例可能展現(xiàn)出不同的行為特征，并且采用了雙重RSA架構(gòu)。這些操作表明，Kalxat是一款精心設(shè)計(jì)的、針對(duì)企業(yè)服務(wù)器環(huán)境的高級(jí)勒索軟件。

Kalxat技術(shù)詳解

軟件概述

本文將對(duì)捕獲到的Kalxat勒索軟件樣本進(jìn)行技術(shù)分析，剖析其加密算法、加密邏輯和密鑰管理方式等細(xì)節(jié)。

表1. Kalxat勒索軟件家族特性概覽

?

在測(cè)試環(huán)境中，被加密后的典型文檔目錄如下：

?

圖1. 測(cè)試環(huán)境中的被加密文檔目錄?

前置預(yù)備操作解析

該勒索在開(kāi)始運(yùn)行后，會(huì)通過(guò)lzma算法動(dòng)態(tài)釋放其勒索代碼，該流程的詳情如下：

?

圖2. Kalxat勒索軟件動(dòng)態(tài)釋放勒索模塊流程示意圖?

最終，被釋放出的勒索代碼載荷會(huì)加載同目錄下encry_開(kāi)頭的密鑰配置文件，如果不存在此文件或者文件內(nèi)容格式不對(duì)，勒索軟件便不會(huì)再進(jìn)行后續(xù)的攻擊操作。我們根據(jù)其算法邏輯生成了一份密鑰配置，示例如下圖所示：

?

圖3. 密鑰配置文件示意圖

該配置文件中，包含了勒索軟件加密所需的文件后綴、勒索信息以及加密密鑰等重要功能性數(shù)據(jù)。經(jīng)技術(shù)分析，該配置文件的文件數(shù)據(jù)結(jié)構(gòu)如下圖所示：

?

圖4. Kalxat密鑰配置文件數(shù)據(jù)結(jié)構(gòu)示意圖?

勒索軟件在準(zhǔn)備妥當(dāng)后會(huì)正式運(yùn)行。其啟動(dòng)后會(huì)包含多個(gè)檢查條件，只有在滿(mǎn)足特定條件時(shí)，才會(huì)執(zhí)行核心的勒索功能代碼：

一、檢查是否存在一個(gè)名為“no_start”的文件，如存在則退出；

二、檢查運(yùn)行時(shí)間，僅在2025年1月~10月期間執(zhí)行。時(shí)間區(qū)域外則直接退出；

三、檢查系統(tǒng)語(yǔ)言區(qū)域，如果屬于某些特定國(guó)家則退出。具體國(guó)家為：俄羅斯、白俄羅斯、烏克蘭、烏茲別克斯坦、哈薩克斯坦、塔吉克斯坦、格魯吉亞、吉爾吉斯斯坦、土庫(kù)曼斯坦。

此外，在勒索軟件開(kāi)始加密前還會(huì)執(zhí)行修改注冊(cè)表及各種清空記錄、日志等命令：

?

圖5. 勒索軟件啟動(dòng)后的注冊(cè)表操作

對(duì)注冊(cè)表操作后，還會(huì)執(zhí)行特定Powershell命令，其主要功能為關(guān)閉各類(lèi)安全防護(hù)及虛擬機(jī)軟件，同時(shí)清理各類(lèi)防護(hù)日志：

?

圖6. 勒索軟件啟動(dòng)后執(zhí)行的Powershell命令

此后，軟件會(huì)清理系統(tǒng)的遠(yuǎn)程桌面協(xié)議（RDP）記錄：

?

圖7. 勒索軟件啟動(dòng)后清理RDP記錄?

調(diào)用Cipher /w命令擦除并復(fù)寫(xiě)已刪除文件的剩余痕跡記錄，防止數(shù)據(jù)恢復(fù)，并設(shè)置2小時(shí)后重啟機(jī)器：

?

圖8. 清除已刪除文件痕跡?

接著，勒索軟件還會(huì)嘗試結(jié)束特定安全軟件、Web、數(shù)據(jù)庫(kù)軟件進(jìn)程，并刪除所有系統(tǒng)恢復(fù)點(diǎn)，以及禁用系統(tǒng)中自帶的安全防護(hù)軟件Windows Defender：

?

圖9. 關(guān)閉各類(lèi)軟件、刪除恢復(fù)點(diǎn)并禁用Windows Defender?

最后，Kalxat會(huì)停止特定服務(wù)，這些服務(wù)主要是各類(lèi)數(shù)據(jù)庫(kù)軟件。停止這些服務(wù)，可以避免勒索軟件對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行加密時(shí)，遭到數(shù)據(jù)庫(kù)服務(wù)的占用。

?

圖10. 停止各類(lèi)數(shù)據(jù)庫(kù)服務(wù)?

勒索軟件在加密一般文件時(shí)，會(huì)根據(jù)大小動(dòng)態(tài)調(diào)整只加密文件部分內(nèi)容，而對(duì)于112類(lèi)文件擴(kuò)展名則會(huì)進(jìn)行完整加密，其列表如下：

vmem、vswp、vmsn、vmdk、vhdx、avhdx、vhd、h5、dcm、shp、ndf、shx、orc、parquet、prj、id、dat、geojson、kml、nds、pmml、proto、nmea、s57、rpf、onnx、pt、pb、csv、eml、ghost、log、bak、sql、4dd、4dl、abs、abx、frm、accdb、accdc、ctl、accde、pqsql、adb、adf、dmp、ckp、db、json、pgdump、arc、pgdata、db-journal、db-shm、ifx、js、wal、mongodb、ns、wt、rdb、mariadb、db-wal、db2、ibd、db3、dbc、dbf、dbs、dbt、dbv、dcb、doc、docx、dp1、aof、mysql、myi、data、dump、eco、edb、database、ora、epim、wdb、fcd、gdb、mdb、mdf、ldf、myd、ndf、nwdb、nyf、sqlitedb、sqlite3、sqlite、xls、xlsx、pdf、pst、swift、fix、flt、fixm、xlsm、makop、pgp、gpg、enc

從上述擴(kuò)展名可以看出，勒索軟件主要集中攻擊以下幾類(lèi)文件。這些文件類(lèi)型具有覆蓋面極廣、目標(biāo)價(jià)值高、多平臺(tái)存在、文件結(jié)構(gòu)復(fù)雜等特點(diǎn)：

l虛擬化與備份環(huán)境

l數(shù)據(jù)庫(kù)與大數(shù)據(jù)存儲(chǔ)

l地理信息系統(tǒng)（GIS）與科學(xué)數(shù)據(jù)

l機(jī)器學(xué)習(xí)與模型文件

l辦公文檔與電子郵件

l日志與配置

除了指定特定擴(kuò)展名進(jìn)行完整加密外，勒索軟件還會(huì)對(duì)部分文件進(jìn)行排除，不加密。被排除的擴(kuò)展名、文件名及目錄如下:

iso、cmd、com、bat、diagpkg、dll、exe、hlp、icl、icns、ico、ics、idx、lnk、nomedia、rom、rtp、scr、shs、sys、theme、themepack、wpx、msi

ntldr、ntdetect.com、io.sys、autorun.inf、boot.ini、desktop.ini、ntuser.dat、concache.db、bootsect.bak、thumbs.db、Bootfont.bin

Windows、ProgramData\\Microsoft、ProgramData\\NVIDIA Corporation、ProgramData\\Adobe、ProgramData\\Dell、ProgramData\\Intel、ProgramData\\McAfee、ProgramData\\Symantec、ProgramData\\Kaspersky Lab、ProgramData\\AVAST Software、ProgramData\\Malwarebytes、ProgramData\\Package Cache、Program Files (x86)\\Internet Explorer、Program Files (x86)\\Steam、Program Files (x86)\\NVIDIA Corporation、Program Files (x86)\\Intel、Program Files\\Adobe、Program Files\\Internet Explorer、Program Files\\Mozilla Firefox、Program Files\\Google、Program Files\\NVIDIA Corporation、Program Files\\WindowsApps、Program Files\\Windows Defender、Program Files\\Intel、Program Files\\Windows Photo Viewer、Program Files\\Windows Media Player、Program Files\\UNP、Program Files\\ModifiableWindowsApps、Program Files(x86)\\Microsoft Synchronization Services、Program Files(x86)\\Microsoft Sync Framework、Program Files(x86)\\Microsoft Analysis Services、Program Files (x86)\\Microsoft SDKs、Program Files (x86)\\MSBuild、Program Files (x86)\\Reference Assemblies、Program Files\\Microsoft Sync Framework、Program Files\\Microsoft.NET、Program Files\\Reference Assemblies、Program Files\\WindowsPowerShell、Program Files\\MSBuild、Program Files\\Virtio-Win、Program Files\\Windows NT、Program Files (x86)\\Microsoft.NET、Program Files (x86)\\Windows NT、Program Files (x86)\\WindowsPowerShell、Program Files (x86)\\Windows Media Player、ProgramData\\Microsoft、ProgramData\\NVIDIA Corporation、ProgramData\\Adobe、ProgramData\\Oracle、ProgramData\\Dell、ProgramData\\Intel、ProgramData\\McAfee、ProgramData\\Symantec、ProgramData\\Kaspersky Lab、ProgramData\\AVAST Software、ProgramData\\Malwarebytes、ProgramData\\Package Cache、ProgramData\\Microsoft、ProgramData\\NVIDIA Corporation、ProgramData\\Adobe、ProgramData\\Oracle、ProgramData\\Dell、ProgramData\\Intel、ProgramData\\McAfee、ProgramData\\Symantec、ProgramData\\Kaspersky Lab、ProgramData\\AVAST Software、ProgramData\\Malwarebytes、ProgramData\\Package Cache、Program Files (x86)\\Internet Explorer、Program Files (x86)\\Steam、Program Files (x86)\\NVIDIA Corporation、Program Files (x86)\\Intel、Program Files\\Adobe、Program Files\\Internet Explorer、Program Files\\Mozilla Firefox、Program Files\\Google、Program Files\\NVIDIA Corporation、Program Files\\WindowsApps、Program Files\\Windows Defender、Program Files\\Intel、Program Files\\Windows Photo Viewer、Program Files\\Windows Media Player、Program Files\\UNP、Program Files\\ModifiableWindowsApps

加密策略及密鑰分析

對(duì)于一般文件，Kalxat會(huì)根據(jù)文件類(lèi)型和大小動(dòng)態(tài)調(diào)整加密的比率。

?

圖11. 勒索軟件動(dòng)態(tài)調(diào)整加密比率?

加密算法會(huì)根據(jù)文件大小，動(dòng)態(tài)調(diào)整待讀取的文件塊大小以及加密率兩個(gè)關(guān)鍵參數(shù)，其文件大小閾值為：

l小文件閾值：10,485,760 字節(jié) (10MB)

l中等文件閾值：314,572,800 字節(jié) (約300MB)

l大文件閾值：1,073,741,824 字節(jié) (1GB)

l最大文件閾值：53,687,091,200 字節(jié) (50GB)

而讀取的文件塊大小與加密率算法對(duì)應(yīng)策略如下

l基礎(chǔ)塊大小: 38,400 字節(jié)

l根據(jù)文件大小調(diào)整乘數(shù)因子和加密率:

n特殊情況：乘數(shù)因子為5，加密率為1（每個(gè)塊都加密）

n文件尺寸小于0MB：乘數(shù)因子為25，加密率為2（每2個(gè)塊加密1個(gè)）

n文件尺寸小于314MB：乘數(shù)因子為125，加密率為2（每2個(gè)塊加密1個(gè)）

n文件尺寸在314MB~1GB之間：乘數(shù)因子為250，加密率為2（每2個(gè)塊加密1個(gè)）

n文件尺寸在1GB~50GB之間：乘數(shù)因子為375，加密率為3（每3個(gè)塊加密1個(gè)）

n文件尺寸大于50GB：乘數(shù)因子為750，加密率為3（每3個(gè)塊加密1個(gè)）

最終讀取塊大小從192KB到28.8MB不等，隨文件大小增大而增大。加密率在1~3之間變化，用于優(yōu)化大文件加密的性能和安全性平衡。

加密流程分析

Kalxat勒索文件加密與密鑰生成流程示意圖：

?

圖12. 密鑰生成及加密流程示意圖?

在加密功能部分有個(gè)小插曲：雖然在其自身的代碼中將加密函數(shù)命名為AesEncryptFile，但其實(shí)際用的卻是ChaCha20算法。加密流程大致如下：

1.?密鑰和IV生成與包裝

2.?文件加密參數(shù)與元數(shù)據(jù)寫(xiě)入

3.?分塊加密文件內(nèi)容

加密文件數(shù)據(jù)結(jié)構(gòu)

在加密文件時(shí)，被加密的文件數(shù)據(jù)結(jié)構(gòu)如下：

?

圖13. 被加密的文件數(shù)據(jù)結(jié)構(gòu)圖

被加密文件的元數(shù)據(jù)詳細(xì)說(shuō)明如下表：

表2. 被加密文件的元數(shù)據(jù)結(jié)構(gòu)說(shuō)明

勒索軟件篩選待加密文件的具體流程如下：

l小文件（小于10MB）：基本會(huì)被加入加密任務(wù)隊(duì)列處理。

l中等文件（10MB~70MB）：根據(jù)遞歸參數(shù)和目錄下文件數(shù)綜合判斷，一般也會(huì)加入任務(wù)隊(duì)列。

l極大文件或極大目錄：

n超過(guò)70MB的文件夾，且文件數(shù)超過(guò)200個(gè)，會(huì)被直接跳過(guò)；

n單個(gè)文件超過(guò)100MB（dll后綴）或350MB（普通文件且目錄下文件數(shù)>7）也會(huì)被跳過(guò)；

n子目錄超過(guò)150個(gè)，且limitSize大于70MB，也不會(huì)再遞歸下去。

收尾工作

勒索軟件在完成全部加密工作后，會(huì)生成名為“INFORMATION.txt”的勒索信，要求受害者將信內(nèi)ID發(fā)到下方的郵箱中，以取得初步聯(lián)系獲得贖金報(bào)價(jià)。

?

圖14. 勒索信內(nèi)容

安全建議

基于該勒索的特點(diǎn)，我們提出以下防護(hù)建議：

l異地多重備份：虛擬機(jī)鏡像、數(shù)據(jù)庫(kù)備份與日常文件分離存放，并定期演練恢復(fù)。

l最小化權(quán)限：限制服務(wù)賬號(hào)對(duì)備份和虛擬磁盤(pán)文件的訪問(wèn)。

l網(wǎng)絡(luò)隔離與監(jiān)控：部署流量監(jiān)控、勒索軟件行為檢測(cè)工具，對(duì)異常加密行為及時(shí)阻斷。

l定期更新與打補(bǔ)丁：關(guān)鍵系統(tǒng)與數(shù)據(jù)庫(kù)及時(shí)修補(bǔ)已知漏洞，降低被入侵風(fēng)險(xiǎn)。

針對(duì)本輪攻擊的特點(diǎn)，我們針對(duì)RDP防護(hù)也給出一些專(zhuān)項(xiàng)建議：

l設(shè)置強(qiáng)復(fù)雜度密碼，并定期更換。

l啟用雙因素驗(yàn)證（2FA/MFA），確保登錄環(huán)節(jié)多一道安全屏障。

l僅允許公司固定或可信IP段訪問(wèn)RDP服務(wù)，可通過(guò)VPN或跳板機(jī)實(shí)現(xiàn)。

l限制RDP登錄嘗試次數(shù)與頻率，部署入侵防御系統(tǒng)（IDS/IPS）攔截暴力破解。

l針對(duì)RDP服務(wù)開(kāi)啟日志審計(jì)，監(jiān)控非工作時(shí)間和異常時(shí)段的登錄行為。