Leomez17/healthcare-ransomware-hunting

# 🏥 医疗保健勒索软件威胁狩猎 — ALPHV BlackCat ## 📋 场景概述 SOC 从一场针对医疗保健组织的疑似恶意软件活动中拦截了一组 **31 个可疑文件哈希**。威胁情报团队的任务包括： - 使用 VirusTotal API 识别恶意哈希 - 归因威胁行为者 - 收集相关的入侵指标 - 为 C2 流量编写 Suricata IDS 检测规则 - 撰写高管建议 **分类：** TLP:CLEAR ## 🎯 威胁行为者画像 — ALPHV BlackCat | 字段 | 详情 | |-------|--------| | **威胁行为者** | ALPHV / BlackCat (勒索软件即服务) | | **恶意软件家族** | BlackCat / ALPHV-ng / Noberus | | **首次发现** | 2021 年 11 月 | | **语言** | Rust (首个使用 Rust 编写的主要勒索软件) | | **疑似来源** | 前身为 DarkSide / BlackMatter 运营者；与 FIN7、FIN12 有关联 | | **主要目标** | 医疗保健、关键基础设施、金融服务 | | **已知受害者** | 全球 1,000+ 个组织 | ## 🔍 第一阶段 — 恶意软件识别 ### 方法论 使用 **VirusTotal API v3** 扫描了 31 个 SHA-256 哈希。一个 Bash 脚本遍历了每个哈希，查询了 `/files/{hash}` 端点，并提取了检测计数和 AV 供应商分类结果。为了遵守 API 速率限制，在请求之间强制执行了 15 秒的延迟。 **结果：** - 28 个哈希 — 0 次恶意检测 (良性 / 不在 VT 数据库中) - 2 个哈希 — 已知哈希的结构变体 (良性) - **1 个哈希 — 在约 72/73 个 AV 引擎中确认为恶意** ### 识别出的恶意哈希 | 字段 | 详情 | |-------|--------| | **SHA-256** | `1bc0575b3fc6486cb2510dac1ac6ae4889b94a955d3eade53d3ba3a92d133281` | | **恶意软件名称** | ALPHV BlackCat Ransomware (又名 ALPHV-ng、Noberus、BlackCat 2.0 Sphynx) | | **AV 检测** | 约 72 / 73 家供应商标记 (VirusTotal) | | **威胁分类** | ransomware/blackcat / Ransom:Win64/BlackCat | | **文件类型** | PE32+ Windows 64 位可执行文件 (Rust 编译) | 有关 VirusTotal API 扫描脚本，请参见 [`detection/virustotal_scan.sh`](detection/virustotal_scan.sh)。 ## 📊 第二阶段 — 入侵指标 IoC 收集自 FBI FLASH CU-000167-MW (2022 年 4 月)、CISA 公告 AA23-353A (2024 年 2 月) 以及 HHS/HC3 分析师备忘录 (2022 年 12 月)。 有关完整的结构化 IoC 文件，请参见 [`iocs/`](iocs/) 目录。 ### C2 IP 地址 | IP 地址 | 角色 | 来源 | |-----------|------|--------| | `5.199.168.24` | C2 服务器 | CISA AA23-353A | | `91.92.254.193` | SimpleHelp 远程访问 | CISA AA23-353A | | `92.223.89.55` | 威胁行为者 IP | CISA AA23-353A | | `185.195.59.218` | 威胁行为者 IP | CISA AA23-353A | | `51.159.103.112` | 威胁行为者 IP | CISA AA23-353A | ### 著名的勒索软件文件扩展名 ALPHV BlackCat 在每次受害者部署时会附加一个唯一的 7 字符字母数字扩展名： `.kh1ftzx` | `.s9nqfca` | `.sykffle` | `.zk6hfcq` | `.uhwuvzu` ### 勒索信模式 ``` RECOVER-[7-char-extension]-FILES.txt ``` ## 🛡️ 第三阶段 — Suricata 检测规则 ### C2 检测规则 ``` alert ip any any -> 5.199.168.24 any (msg:"Detected suspicious IP access - ALPHV BlackCat C2"; sid:100; rev:1;) ``` 此规则检测从内部主机到位于 `5.199.168.24` 的已确认 ALPHV BlackCat C2 服务器的任何出站 IP 级别通信。 有关完整的规则文件，请参见 [`detection/alphv_c2.rules`](detection/alphv_c2.rules)；有关 hping3 测试流程，请参见 [`detection/test_rule.sh`](detection/test_rule.sh)。 ## 🗺️ MITRE ATT&CK 映射 | 技术 ID | 战术 | 名称 | ALPHV 用法 | |-------------|--------|------|-------------| | T1190 | 初始访问 | 利用面向公众的应用 | ProxyShell (CVE-2021-34473/34523/31207) | | T1133 | 初始访问 | 外部远程服务 | 不安全的 RDP/VPN | | T1059.001 | 执行 | PowerShell | 禁用 AV、部署勒索软件、清除日志 | | T1562.001 | 防御规避 | 禁用或修改工具 | 终止 AV/EDR；POORTRY/STONESTOP 驱动程序 | | T1558 | 凭据访问 | 窃取/强制 Kerberos 票据 | 域权限提升 | | T1557 | 凭据访问 | 中间人攻击 | Evilginx2 窃取 MFA/会话 cookie | | T1567.002 | 数据外传 | 外传至云存储 | Rclone 传至 MEGA.nz；Exmatter 工具 | | T1486 | 影响 | 加密数据以造成影响 | ChaCha20/AES 加密 | | T1490 | 影响 | 抑制系统恢复 | 删除 VSS 卷影副本 | ## 📋 著名的医疗保健安全事件 | 日期 | 目标 | 影响 | |------|--------|--------| | 2024 年 2 月 | Change Healthcare / UnitedHealth Group | 支付了约 2200 万美元 BTC 赎金；1 亿+ 患者记录暴露；全国范围内的药房业务中断 | | 2023 年 12 月 | 多家美国医院 | 在 FBI 采取行动后，ALPHV 管理员明确指示附属机构针对医院进行攻击 | | 2022 年 | OrthoVirginia, Mango DSP | 患者数据泄露至 ALPHV Collections 的明网网站上 | ## 📁 仓库结构 ``` healthcare-ransomware-hunting/ ├── README.md # This file — full investigation writeup ├── iocs/ │ ├── ip_addresses.md # C2 and threat actor IP addresses │ ├── email_addresses.md # ALPHV contact / extortion emails │ ├── crypto_wallets.md # BTC and XMR wallet addresses │ └── file_indicators.md # File extensions and ransom note filenames ├── detection/ │ ├── alphv_c2.rules # Suricata IDS detection rule │ ├── virustotal_scan.sh # VirusTotal API hash scanning script │ └── test_rule.sh # hping3 rule testing procedure └── report/ └── executive_summary.md # Executive summary and recommendations ``` ## 🎓 展示的技能 - 威胁情报分析和威胁行为者画像 - 使用 VirusTotal API 编写脚本 进行哈希分析 - 从 FBI/CISA/HHS 公告收集 OSINT IoC - Suricata IDS 规则编写与测试 - MITRE ATT&CK 框架映射 - 高管威胁情报报告撰写 ## 📚 参考 - [CISA 公告 AA23-353A — ALPHV BlackCat](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-353a) - [FBI FLASH CU-000167-MW](https://www.ic3.gov/Media/News/2022/220420.pdf) - [HHS HC3 BlackCat 分析师备忘录](https://www.hhs.gov/sites/default/files/blackcat-analyst-note.pdf) - [DOJ ALPHV 破坏行动新闻稿](https://www.justice.gov/archives/opa/pr/justice-department-disrupts-prolific-alphvblackcat-ransomware-variant) - [MITRE ATT&CK](https://attack.mitre.org) ## 👤 作者 **Leonard Abanobi** — SOC 见习分析师 🔗 [LinkedIn](https://www.linkedin.com/in/) | 🌐 [作品集](https://leomez17.github.io/Cybersecurity-Portfolio/) *本实验作为 SOC 分析师实操培训的一部分，在 Immersive Labs 平台上完成。分类：TLP:CLEAR*

标签：DAST, 勒索软件, 威胁情报, 安全, 应用安全, 开发者工具, 恶意软件分析, 超时处理, 黑cat