勒索即服务（RaaS）Avaddon研究 – 作者:南京聚铭网络-安全小百科

Avaddon勒索软件家族于2020年2月首次出现在公众视野中，自2020年6月以来形成了一类强大的勒索软件即服务(RaaS)模式。在过去的9个月左右时间里，Avaddon背后的运营者成功地将之建成了一个强大而且可靠的服务平台，并且在安全研究人员于2021年2月发布了公开解密器后，又迅速支持其合作成员进行了更新。从那时起，通过研究可以观察到Avaddon的活动不断激增，其开发者正在积极地为这个活跃的RaaS平台研发下一代工具。

在本文中，我们详细介绍了Avaddon的快速发展情况以及该恶意软件作者为适应不同环境，不断增强其交付能力。

概览

从2020年2月最初的攻击开始，直到2020年6月，Avaddon完全形成为RaaS（勒索即服务）模式。作为一种快速、定制、高度可配置和支持良好的勒索软件服务，它在黑灰产业链中被大力推广。

Avaddon运营者自一开始即为合作伙伴提供了相当标准的条款，在接下来的几个月里，Avaddon成为了针对个人和企业的最具攻击性的勒索软件组织之一。按照其他RaaS平台的模式，Avaddon迅速地建立了一个博客网站，专门在受害者未能按要求支付赎金时泄露受害者数据。

自成立以来，Avaddon拒绝接受以独联体国家为目标的成员，对与非俄语人士的任何交易都严格审查。Avaddon声称了它们具有快速、可配置和健壮等特性。第一个版本的Avaddon广告号称具有如下能力：

用C语编写的有效载荷

通过AES256+RSA2048对文件进行加密，支持全文件加密和自定义参数

完全脱机支持，不需要与C2进行通讯

“不可能”被第三方解密

支持Windows7以上版本

多线程文件加密，以实现最大性能

所有本地和远程（以及可访问的）驱动器的加密

持续加密新写入的文件和新连接的媒体
能够跨网络共享（SMB、DFS）

多个交付选项（script, PowerShell, .EXE payload, .DLL)
有效载荷以管理员身份执行
加密隐藏的文件和卷
删除垃圾邮件、卷影副本(VSS)和其他还原点
禁止文件加密的进程的终止
可配置的赎金票据行为

最初，成员能够通过TOR托管的一个的管理面板来构建和管理他们的有效恶意载荷。这个面板可以管理特定的活动、支付类型和行为、受害者的跟踪和管理，它也是 Avaddon技术支持资源的接口。

随后，Avaddon获得了巨大的优势，继续做招聘广告，并在媒体上发表他们的报道。

在2020年下半年，Avaddon持续建立其受感染基，同时也继续升级服务和有效载荷。

当反病毒引擎开始为Avaddon增加检测规则时，软件会频繁更新，以确保所需的隐匿水平。2020年6月底，该恶意软件增加了通过PowerShell启动有效负载的选项。

在2020年8月，平台提供7*24小时持续服务，运营者表示，可以通过聊天和支付系统来支持其成员。

此外，Avaddon是早期采用额外勒索方法之一的平台，以嘲弄和宣传不服从其规定的受害者，包括使用有针对性的广告。软件作者持续改进以更好地支持分布式文件系统(DFS)、不同的加密机制和DLL有效载荷。

2021年给Avaddon平台带来了新的改变。今年1月，作者在有效负载中增加了对Windows XP和2003的支持，并对加密功能进行了调整。值得注意的是，Avaddon是第一个添加DDoS 攻击作为另一个勒索机制的武器库：如果客户未能遵守赎金要求，他们将遭受DDoS 攻击，除了他们的数据被泄露给公众，还会由于违约对他们的名誉造成损害。

似乎Avaddon一切都很顺利，但之后遇到了一个麻烦。

解密程序

2021年初，Bitdefender发布了Avaddon的解密工具。此外，研究人员哈维尔·尤斯特还根据他关于详细描述Avaddon内部结构的大量论文发布了一个开源解密器。

在引擎里，Avaddon有效负载存储用于加密的“秘密”会话密钥，这使得分析人员和研究人员能够定位数据，并提取出用来进行分析和最终开发解密工具的密钥。该工具被广泛发布，如NoMoreRansom.org上。

在此期间，可以观察到Babuk勒索软件背后的作者们为Avaddon的使用者提供技术援助，之后Avaddon很快就转换到一个完全不同的模型，取消了解密器的效果。他们还向成员提供了一个月的80%折扣作为补偿。

在对加密问题的必要升级之后，Avaddon继续更新他们的服务和工具集，并对招聘的态度更加积极。2021年2月，也得到了门罗币组织的支持。

随后，Avaddon活动激增，包括他们博客上的新受害者条目。经营者最近的公开声明表明，Avaddon V2的开发正在进行中。

技术故障

在大多数情况下，Avaddon的初始传染途径是通过网络钓鱼电子邮件。然而，其成员已经知道使用RDP并利用以网络为中心的漏洞。可以观察到带有恶意附件（类型为JS）的电子邮件，它会从远程位置搜索Avaddon有效负载。在一些情况下，威胁参与者只是将勒索软件附加到邮件上。

Avaddon对有效载荷执行检查，以确保它们没有在位于特定区域的受害者设备上执行。

Avaddon使用GetUserDefaultLCID()函数(或者 GetKeyboardLayout()) 以确定用户的默认区域设置，下列国家通常被排除在外：

俄罗斯
乌克兰
塔吉克斯坦共和国
哈萨克斯坦共和国

它使用一种常用的UAC绕过技术来确保威胁以所需的特权运行。具体来说，这是一种利用CMSTPLUACOM接口的UAC绕过技术。

现有的Windows系统工具可用于操作和禁用系统恢复选项、备份和卷复制，有些语法可能因变体而不同，WMIC.EXE通常用于通过SHADOWCOPY DELETE /nointeractive来删除VSS。

另外，我们还观察到Avaddon会执行如下命令：

– bcdedit.exe /set {default} recoveryenabled No

– bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

– vssadmin.exe Delete Shadows /All /Quiet

– wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest

目前，Avaddon的加密程序已经发生了更改，以对抗第三方解密，其简化运作流程如下：

1、会话密钥的生成（AES256）

2、更新主密钥（AES256）

3、主密钥加密相关的用户和环境数据，以及赎金说明（通常是Base64）

4、文件通过会话密钥进行加密

5、将加密会话密钥(RSA2048密钥)附加到每个被加密文件

规避技术

Avaddon可以配置为终止特定的进程（如SQLServer，如不关闭则无法正常进行加密），示例如下：

图1 Avaddon代码片段

大多数Avaddon在执行加密时会排除以下操作系统的主要路径：

C:\PERFLOGS

C:\PROGRAM FILES (X86)

C:\PROGRAMDATA

C:\USERS\<USER>\APPDATA

C:\USERS\<USER>\APPDATA\LOCAL\TEMP C:\USERS\PUBLIC

C:\WINDOWS

另外，持久化机制也可能有所不同，它利用创建一个新的窗口服务，以及使用计划的任务进行持久化。

感染后行为

被感染的文件将使用由随机生成的字母组成的扩展名进行重命名，这些扩展对每个受害者来说都是唯一的。

Avaddon的早期版本也将替换受感染主机的壁纸图像，目前的版本向受害者提供了一张赎金说明，受害者被警告，除了数据加密，参与者“还从网络下载了很多私人数据”。

受害者必须通过TOR浏览器访问Avaddon支付门户，在那里他们必须输入自己的唯一标识（在赎金说明中找到）才能继续操作。

在受害者被点名并在博客上被羞辱前，Avaddon参与者不会等待不愿缴纳赎金的受害者。在公司名称旁有计时器显示，计数从目标环境被盗到所有数据的发布时间，如下图所示：

图2 Avaddon的博客

需要注意的是，当受害者违反要求，则其信息会被泄露，这意味着，无论受害者采取任何行动，他们的信息都很容易为公众所知晓。到目前为止，有60多家公司出现在被勒索列表上，其中19家有完整的敏感信息可供下载。

当涉及到目标时，Avaddon似乎没有任何特殊的偏好或顾虑，虽然一些勒索软件组织在当前的流行病毒期间已经放弃了某些类型的目标，但迄今为止Avaddon的受害者中包括了与医疗保健相关的实体，而在其受害者中最具代表性的行业是信息技术与服务、食品生产、法律服务和制造业。

结论

Avaddon是当前RaaS模式下的一个非常成功的案例。它在很短的时间内出现，并很快就产生了巨大影响。运营者会训练并且选择谁来作为其组织成员，这从一定程度上确保了勒索软件的存活期以及排他性。此外，他们采用了与现代勒索软件家族有关的更为激进的勒索技术，这不仅包括公众泄露数据，而且还包括DDoS攻击的威胁、个人威胁和嘲弄。

所有这些，加上对受害者的严格支付要求，使Avaddon处于潜在强大的地位。他们还没有受到与Maze和Egregor一样的媒体关注，但没有理由相信Avaddon的危险会降低。此时，Avaddon背后的人正在与社区高度合作，并积极开发和迭代版本，以对抗安全研究和特征检测。随着Avaddon版本2即将到来，可以预测在2021年中可能出现的爆发。