阅识风云是华为云信息大咖，擅长将复杂信息多元化呈现，其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。

摘要：HSS针对Cactus勒索病毒的解析与防护建议。

本文分享自华为云开发者社区《【云小课】| 安全第15课 HSS对近期Cactus勒索病毒的分析》，原文作者：阅识风云

近期热点勒索事件

2023年首次发现的勒索病毒Cactus已迅速在数字领域蔓延，利用漏洞(尤其是VPN的漏洞)获得未经授权的访问并在受损的基础设施中建立据点，采用动态加密方法并利用许多工具和技术来确保其恶意负载有效且隐蔽地传递，攻击领域多种多样，主要针对从事制造和专业服务业务的组织，并已经攻击达到9个国家。

Cactus勒索病毒自2023年3月份开始活动以来一直很活跃，主要针对大型商业实体进行大量勒索。它采用双重勒索策略，在加密前窃取敏感数据，并在其网站威胁公开数据。Cactus勒索病毒利用Fortinet VPN漏洞、Qlik Sense公开暴露的安装漏洞和恶意广告传播的Danabot恶意软件，以获取初始访问权限，然后使用批处理脚本解压7-zip文件来提取勒索病毒可执行程序，并试图删除杀毒软件以逃避检测，它会在执行加密文件恶意代码前删除可执行程序，加密后，它会附加“.CTS[数字]”扩展名，如：1.jpg.CTS1、2.jpg.CTS1、3.jpg.CTS2等，在被加密的文件夹下，会有名为“cAcTuS.readme.txt”的勒索信。

Cactus勒索病毒：初始入侵阶段

Cactus勒索病毒可能采用的攻击手法包括：通过Fortinet VPN漏洞、Qlik Sense漏洞、流氓软件植入木马Danabot等获取初始访问权限。

Cactus勒索病毒：感染与执行阶段

Cactus与常见的勒索软件一样，在感染阶段会执行持久化、提权、横向移动、探测内网敏感数据、禁用安全软件等操作。Cactus在获取初始访问权限后，通过计划任务建立SSH后门来维持权限；使用SoftPerfect、Network Scanner（netscan）、PSnmap.ps1以及powershell命令扫描探测内网主机；同时，安装合法远程访问软件Splashtop、AnyDesk、SuperOps RMM来控制失陷主机并向其植入恶意文件。

Cactus通过窃取浏览器配置文件中的凭据和LSASS进程中的凭据来进行权限提升，以及后续的横向移动，在失陷主机上还发现了用来加密通信的Chisel和攻击工具Cobalt Strike。在获取到足够的权限后，植入的恶意文件通过批处理脚本执行恶意操作，并用msiexec来卸载安全软件。

Cactus在最后阶段使用Rclone等工具窃取数据，窃取完成后，开始加密失陷主机的数据。PowerShell脚本TotalExec.ps1使用PsExec部署加密器，批处理脚本f1.bat创建用户并赋予管理员权限，配置系统以安全模式启动，配置用户在进入系统时自动登录，并在RunOnce注册表中添加执行第二个批处理脚本f2.bat，然后5秒后强制重启系统并删除自己。

图1 f1.bat脚本

图2 f2.bat脚本（负责加密失陷主机的文件）

f2.bat脚本移除安全模式启动的配置，解压7z文件得到勒索病毒加密组件，然后删除7z压缩包以及7.exe程序，然后通过PsExec在内网扫描入侵的主机上执行加密组件。

Cactus勒索病毒可执行程序有-s、-r、-i、-l、-e、-c、-t、-d、-f等参数可选，不同的参数对应不同的行为。主要有下面3种模式：

（1）安装模式

通过在命令行中传递“-s”标志来触发，可执行文件会将自己复制到C:\ProgramData{Victim_ID}.exe，然后将在C:\ProgramData\ntuser.dat中写入一个配置文件，其中包含原始可执行文件的路径。然后，它会创建并执行一个计划任务来运行程序C:\ProgramData\{Victim_ID}.exe。

（2）读取配置模式

通过传递“-r”标志，它进入读取配置模式，读取ntuser.dat文件，提取一些字段，使用它们执行不同的操作，然后退出。

（3）加密模式

Cactus勒索病毒搜索文件系统，并开始使用线程加密多个文件。实现对多个文件进行加密。加密文件的扩展名为“.cts”，其中的“int”可以用任何随机数代替。Cactus采用双重勒索策略会把受害者的文件窃取再加密这些文件。Cactus采用AES+RSA算法加密文件，加密完成后，释放勒索信，命名为 “CAcTuS.readme.txt”。