鑽石舞台

RedAlert勒索病毒又稱為N13V勒索病毒，是一款2022年新型的勒索病毒，最早於2022年7月被首次曝光，主要針對Windows和Linux VMWare ESXi服務器進行加密攻擊，到目前為止該勒索病毒黑客組織在其暗網網站上公布了一名受害者，同時該名受害者在其官網上也發布了被黑客攻擊的信息，該名受害者企業正在與網絡犯罪領域的專家進行取證和溯源工作，並發布了相關的公告，如下所示：

該企業公告表明：尚不能肯定數據庫被泄露了，但出於透明度的考慮，已經預防性地通知了客戶，根據目前的掌握的情況，攻擊者並沒有入侵企業的中央數據庫，仍然可以通過電子郵件和電話訪問，正在進行的項目也沒有受到威脅，預計下周將全面恢復系統。

從申明上看該企業還是很負責的，對自己的客戶並沒有隱瞞受黑客攻擊的事實，同時還採取了積極的應對方式，尋求安全專家對企業事件進行取證分析。

隨着雲計算的發展，越來越多的黑客組織開始將目標瞄準雲計算業務，最近出現的一些新型的勒索病毒都開始針對VMWare EXSi服務器進行攻擊，前不久筆者分享了Black Basta勒索病毒的分析文章，今天再給大家分析一下RedAlert這款新型的勒索病毒。

1.從樣本反編譯的注釋中可以發現該勒索病毒被其黑客組織內部稱為N13V，如下所示：

2.該勒索病毒可傳遞的參數，如下所示：

通過不同的參數執行不同的操作。

3.使用-w參數，使用esxcli命令強制關閉VM虛擬機服務器，如下所示：

4.使用-p參數，加密指定目錄的文件，如下所示：

生成的加密配置文件內容，如下所示：

加密完成之後，會在當前目錄生成勒索提示信息文件HOW_TO_RESTORE，內容如下所示：

通過分析該勒索提示信息文件，可以發現黑客組織應該是使用了自定義的勒索病毒樣本攻擊受害者，每個受害者都會生成特定的勒索提示信息以及相應的暗網網站地址，即一個受害者對應一個勒索提示信息和一個暗網網站數據地址鏈接，在入侵企業網絡之後通過該勒索病毒RAAS平台生成對應的勒索病毒攻擊樣本。

5.使用-x進行該勒索病毒加密性能測試，如下所示：

6.加密後的文件後綴名為crypt658，如下所示：

7.初始化硬編碼的公鑰加密密鑰信息，利用NTRUEncrypt公鑰加密算法，如下所示：

並將密鑰信息寫入到配置文件當中，生成該勒索病毒的配置文件信息，如下所示：

8.遍歷磁盤目錄文件，如下所示：

如果是以下後綴名列表的文件，則加密該文件，需要加密的文件名後綴列表，如下所示：

9.使用ChaCha20-Poly1305加密算法加密文件，如下所示：

10.加密完成之後，生成勒索提示信息文件，如下所示：

勒索提示信息內容，如下所示：

到此這款新型的勒索病毒算是分析完了，該勒索病毒使用了新式加密算法，涉及到的加密算法主要為：NTRUEncrypt和ChaCha20-Poly1305，從勒索提示信息文件可以發現該勒索病毒攻擊應該主要以人工定向攻擊活動為主，針對特定的企業進行攻擊，盜取企業重要數據之後，再使用勒索病毒RAAS平台生成對應的勒索病毒家族樣本，進行加密勒索，目前該勒索病毒暫未發現有大規模的攻擊活動，但各企業需要保持警惕，勒索病毒黑客組織一直在尋找新的攻擊目標，全球各地勒索攻擊威脅事件每天都在發現，各大主流勒索病毒暗網網站上有受害者正在不斷增加。

一些主流的APT組織也已經加入到勒索攻擊活動當中，從以前單一的勒索攻擊到現在發展成四重勒索攻擊(加密勒索、數據竊取、DDoS攻擊、騷擾攻擊受害者企業的客戶)，黑客組織仍然在不斷更新他們的運營模式，勒索攻擊在未來幾年仍然會非常流行，同時也仍然是企業面臨的最大的安全威脅之一，隨着一些老牌成熟APT黑客組織的加入，會讓勒索攻擊變的更加複雜與多變，勒索攻擊的技術也會越來越高級。

針對Linux平台的勒索病毒最近一兩年開始變得活躍，幾大主流的勒索病毒黑客組織都紛紛加入到對Linux平台的勒索攻擊活動當中，同時黑客組織也在不斷開發新型勒索病毒家族，由於此前Conti和Babuk兩款主流勒索病毒源代碼被泄露，最近出現的一些新型的勒索病毒家族變種就是基於這兩款開源代碼進行二次修改開發的，RedAlert的出現讓針對Linux平台的勒索病毒又增加了一名新的家族成員，可以預測隨着雲計算的發展未來會有更多針對Linux平台的新型勒索病毒出現。

其實針對Linux平台的惡意軟件家族也分為很多種類，此前Linux平台上的惡意軟件家族大多數以XorDDoS/BillGates等殭屍網絡以及各種挖礦木馬(TeamTNT、WorkMiner、DDG、8220)為主，隨着基於Linux平台IOT物聯網設備的流行與發展，在這些平台上黑客開發出了各種基於Linux平台的IOT物聯網殭屍網絡家族，其中代表性的兩大家族就是Mirai和Mozi，隨着雲計算的發展，越來越多的雲計算服務器是基於Linux平台的，勒索病毒黑客組織也將攻擊目標轉向雲計算，導致Linux平台上的勒索病毒家族也開始流行起來，Linux平台上不僅僅只有殭屍網絡、勒索病毒，還包含各種木馬遠控後門(Rekoobe、OldFox、HabitsRAT、BellaRAT、TheFatRAT、Symbiote等)，一些APT黑客組織(HackingTeam、Lazarus、Turla、Equation、SideCopy等)也早就在開發基於Linux平台的惡意軟件，黑客組織會通過各種不同的手段來傳播這些惡意軟件，目前主流的一些手段主要就是：釣魚水坑攻擊、供應鏈攻擊、網站掛馬、捆綁軟件、社會工程、以及利用曝光的一些最新的漏洞等，全球每天都在發現各種安全威脅事件，其中大部分的安全事件都與惡意軟件有關，這些惡意軟件會針對攻擊目標的重要數據進行竊密、破壞和勒索，比方APT組織的竊密木馬後門惡意軟件，俄烏網絡戰中Wiper破壞性惡意軟件家族，還有現在最流行的勒索病毒惡意軟件等，全球比較流行的與惡意軟件相關的攻擊事件包含勒索攻擊、挖礦木馬、殭屍網絡、APT竊密攻擊以及各種博彩黑灰產掛馬攻擊等。

筆者一直從事與惡意軟件研究相關的工作，包含挖礦、勒索、遠控後門、殭屍網絡、加載器、APT攻擊樣本、CS木馬、Rootkit後門木馬等，這些惡意軟件家族涉及到多種不同的平台(Windows/Linux/Mac/Android/iOS)，筆者做安全研究的興趣就是喜歡研究一些最新的惡意軟件家族樣本，跟蹤國內外報道的各種安全事件中涉及到的攻擊樣本等，通過詳細分析這些安全事件中涉及的樣本、漏洞和攻擊技巧等，可以了解全球黑客組織最新的攻擊技術以及攻擊活動趨勢等，同時還可以推判出他們大概準備做什麼，發起哪些攻擊活動，以及客戶可能會受到什麼危害等，各位讀者朋友如果有遇到什麼新的惡意軟件家族樣本或最新的家族變種都可以私信發給筆者，感謝給筆者提供樣本的朋友們！

做安全，不忘初心，與時俱進，方得始終！

安全分析與研究，專注於全球惡意軟件的分析與研究，追蹤全球黑客組織攻擊活動，歡迎大家關注。