勒索软件“致盲”安全软件_360强力守护不受影响
- 2025-05-13 18:43:48
再度活跃竟因手握最新攻击利器
近期,360安全智脑监测到Babuk勒索家族活动数据异常。进一步分析数据发现,本次活跃度提升的主要原因是:Babuk勒索家族的最新变种携带了新的攻击利器导致。
从历史记录来看,该家族曾在早年间因源码泄露导致其变种泛滥,最终也成为变种最为丰富的勒索家族之一。目前已监控到的其攻击方式,涵盖了几乎所有的勒索攻击常见手法,而其可感染的系统也覆盖了从Windows、Linux到VMware ESXi等多种常见平台,是一款活跃度常年居高不下的勒索软件。
兵出奇招,凭空创造自保空窗
本次事件的起因,是Babuk的最新变种在近期又增加了新的攻击手段。该勒索软件在安全软件更新升级的防护空档期发起“偷袭”。常规的安全软件通常都具备较为严密的自我保护机制,能够避免被木马病毒轻易关闭。因此,Babuk勒索的最新变种有意利用了安全软件更新升级的防护薄弱期,在其准备进行攻击时,会尝试启动安全软件的升级流程。一旦成功,安全软件很可能在升级安装时临时关闭自我防护,从而出现一个短暂的“自保空窗期”,而Babuk勒索软件此时便会抓住这个空窗期来结束安全软件进程。
根据对360云端大数据的汇总分析,此类攻击较为典型的攻击流程图如下:
图1. Babuk勒索最新攻击手段攻击流程示意图
360强力守护不受影响
面对这种另辟蹊径的新型攻击手段,360终端安全产品在设计之初便考虑到此类问题——攻击者远程卸载、远程更新、强制删除等对抗手法,均无法对360终端安全产品构成实质性威胁。同时,360安全产品可以对Babuk勒索最新变种的这一波攻势,直接进行有效拦截。
图2. 360安全大脑拦截Babuk勒索软件最新变种
实际上,与Babuk本轮攻击类似的手法在国内并不罕见,360安全终端每天都能侦测到并拦截大量针对安全软件的攻击。
尤其是“卸载攻击”——黑客通常会在获取到一台设备的权限后,首先尝试卸载360安全产品,以清理这块最大的“绊脚石”。而当黑客发现无法卸载安全软件时,又会再次尝试结束安全软件的进程。
图3. 360安全大脑阻止黑客的卸载操作
由于360安全终端的自我保护能力必须拥有系统最高权限的驱动才能关闭,利用高权限工具驱动的攻击方式应运而生。火绒剑、PCHunter等具有高权限的安全工具驱动都被这种方式利用过。此外,多家杀毒软件的驱动程序也曾被利用过,我们已发现十余家颇具规模的国内外主流安全厂商的驱动曾被此类攻击利用。此外,通过全面排查分析,360还发现了数十家规模不等的安全厂商的驱动程序存在被利用的安全隐患……
而当发现既无法卸载,又无法结束安全软件的情况下,攻击者还会尝试通过模拟鼠标点击的方式来关闭安全软件。对于此类模拟点击的攻击手段,我们也具备对应的防护功能,避免终端产品被关闭。
图4. 360安全大脑拦截模拟鼠标点击操作
Babuk家族简介
Babuk又被称作Babyk或Babuk Locker。该勒索软件最早出现于2021年1月初,是一款采用RaaS模式的双重勒索软件——其不仅会加密受害者的文件,还会在实施加密前,窃取受害者系统中的重要数据,作为威胁受害者支付赎金的重要筹码。
该家族在2021年5月最为活跃,参与了至少42起攻击事件。但随后因其组织内部在窃取到的华盛顿警方数据处理问题上出现分歧,导致该团伙一步步走向分裂,同时该家族的加密程序生成器也被公开。不过,就在同月,Babuk便在其数据泄露网站上宣布,将不再依赖加密受害者文件的运营模式,而是会重建暗网数据泄露网站,只进行窃取数据攻击。
而在2021年9月7日,一个自称是Babuk开发人员的黑客在暗网论坛上公布了Babuk勒索软件源码。在此之后的Babuk多个衍生家族,以及2025年初声称再度回归的Babuk2.0,都是基于该公开源码进行修改的变种版本。
图5. Babuk泄露的源码
Babuk通常会关闭受害者系统中的安全和备份服务后再进行加密,同时窃取数据用于“双重勒索”策略。其传播方式通常包括钓鱼邮件、弱口令暴力开放的RDP端口以及利用各类软件漏洞。Babuk倾向选择支付能力强的目标,一旦入侵,会全面破坏数据与系统,通常还会删除备份,以迫使受害者交付赎金。2025年后的变种版本则融入了区别于传统传播手段的网络诈骗方案。
Babuk家族在国内一直有传播,广东省是该家族的主要传播区域,北京、上海等经济发达城市也偶有传播。
