1.背景与家族溯源
1.1 BEAST家族前世今生
Beast Ransomware(别称 Monster)最早于 2022年3月 首次被发现。同年6月,一名代号为 "MNSTR" 的威胁行为者在俄语黑客论坛 "Ramp" 上正式发布了该家族的 **勒索软件即服务(RaaS) 推广贴,寻找合作伙伴。
作为一个相对老牌的 RaaS 组织,Beast 经历了多次技术迭代:
- 初期版本: 采用 Delphi 语言开发。
- 后期演进: 核心模块转为 C 语言和 Go 语言开发,以提升运行效率和跨平台能力。
- 跨平台支持: 目前已覆盖 Windows、Linux、ESXi 甚至 NAS 系统。
值得一提的是,该组织在 2024 年 6 月的一则招聘贴中,为了招募更多的盟友,竟然使用了 俄语、英语、中文 三种语言发布广告。虽然其打着“诚邀合作、优惠条件”的旗号,但其本质依然是网络犯罪。
图1 Beast中文招聘贴
初期发布的加密器版本仅只有 Windows 勒索生成器版本,后续推出了一个名为 Beast Ransomware 的增强版本,包括了多个版本的恶意软件生成器如 Windows GUI、Windows CLI、Linux、NAS、ESXI,甚至包括离线勒索软件生成器。
图2 Beast Builder GUI 界面
图3 Beast Offline Builder 界面
1.2 运营模式与攻击偏好
Beast 宣称采用“完全去中心化”的合作模式,承诺不干涉合作伙伴的谈判,并提供低利息和动态费用结算。
- 攻击目标: 截至 2025 年,该组织已攻击了超过 40 家企业。受害者主要集中在 制造业、医疗保健、建筑 等实体行业。
- 地缘特征: 拥有典型的“俄语系”勒索软件特征——严格避开独联体国家(如俄罗斯、白俄罗斯等)。
图4 受害者行业统计图
图5 Beast 泄露站点界面
2.攻击手法 (TTPs)
Beast 家族采用常见的勒索软件策略,形成了一套成熟的攻击链:
- 初始入侵: 广泛利用 钓鱼邮件 投递恶意载荷,暴力破解 RDP 口令,以及利用已知系统漏洞获取立足点。
- 双重勒索: 采用“窃取数据 + 加密文件”的组合拳。在初步入侵后,攻击者会在网络内进行侦察。
- 横向移动: 泄露凭证或通过暴力破解密码进行横向移动,利用有效账户进一步入侵其他服务器以及应用,随后进行加密。
3.样本基础信息
我们捕获并分析了 BEAST 针对 Windows 平台的加密器样本,其基本画像如下:
3.1 恶意文件基础信息
| 文件名 | encrypter-windows-x86.exe |
|---|---|
| 大小 | 1.13 MB |
| 操作系统 | Windows |
| 架构 | x86-64 (32位模式) |
| 编译语言 | C/C++ |
| MD5 | 3b5950325efd4aa6865a776daed6a515 |
| SHA1 | 8762c334f461ca8e058ff2ccedd8468801111f8b |
| SHA256 | 97de86078c7dedda1791ce2f3b7f2d3907b46bcbe4722c43cb6889dff12533f6 |
3.2 感染症状
一旦遭受感染,系统中的文件将被加密并追加特定后缀。
- 加密后缀示例:
.{620E6797-67ED-8F7A-8533-7CE58E9D2FC6}.BEASET - 勒索信文件名:
readme.txt
勒索信内容摘要: "YOUR FILES ARE ENCRYPTED... You are not able to decrypt it by yourself!... We have been in your network for a long time..." 攻击者极具挑衅地宣称已在网络中潜伏已久,并威胁若不联系将公开数据。
YOUR FILES ARE ENCRYPTED
Your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: edatax@airmail.cc and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: edatax@airmail.cc
YOUR PERSONAL ID: 896F70DF-1E6B-FF95-8533-7CE58E9D2FC6
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.
3.3 加密测试
我们使用一个名为 sierting.txt 的文件进行加密测试。
图6 sierting.txt 原始内容
图7 原始文件的十六进制视图
经过加密后,文件内容变得不可读,且头部结构发生了明显变化。
图8 加密后文件的十六进制视图
4.逆向分析:拆解加密流程
通过对样本的深入逆向分析,我们还原了 BEAST 在 Windows 环境下的完整执行逻辑。其行为模式严谨且具有针对性。
4.1 程序执行流程图
在正式加密前,样本会执行一系列环境检查和系统破坏操作:
图9 程序执行流程图
4.2 详细行为分析
4.2.1 地区白名单检查 (Region Check)
程序运行伊始,首先通过 GetLocaleInfoW 获取受害主机的系统语言信息。随后,它会对解密出的白名单国家代码进行比对。
图10 GetLocaleInfoW 代码视图
进行对资源解密操作,解密出字符串:
图11 字符串解密代码视图
- 关键逻辑: 如果受害主机属于以下列表中的国家/地区,病毒将直接退出,不执行加密。
- 白名单列表(CIS国家为主):
AM(亚美尼亚),AZ(阿塞拜疆),BY(白俄罗斯)CY(塞浦路斯),GE(格鲁吉亚),KZ(哈萨克斯坦)KG(吉尔吉斯斯坦),MD(摩尔多瓦),RU(俄罗斯)TJ(塔吉克斯坦),TM(土库曼斯坦),UA(乌克兰)UZ(乌兹别克斯坦),VN(越南)
图12 地区判断循环代码视图
4.2.2 权限维持 (Persistence)
为了确保系统重启后仍能继续运行,BEAST 会修改注册表。
- 操作: 将自身路径添加到
SOFTWARE\Microsoft\Windows\CurrentVersion\Run。 - 目的: 实现开机自启动,确保持久化驻留。
图13 RegSetValueExW 写入注册表代码视图
4.2.3 初始化窗口控件
样本中包含了一段逻辑——初始化通用控件 (InitCommonControls) 并创建一个窗口类名为 !UU 的隐形窗口。
图14 InitCommonControls 代码视图
创建窗体后,程序注册了全局热键并设置了定时器,这可能是为了处理某些特定的交互或反调试逻辑。
图15 CreateWindowExW 和 RegisterHotKey 代码视图
4.2.4 清空回收站 (Anti-Forensics)
为了阻碍受害者恢复数据,样本调用 SHEmptyRecycleBinW 函数,强制清空回收站。
- 目的: 彻底删除用户可能临时存放的文件,增加数据恢复难度。
图16 SHEmptyRecycleBinW 代码视图
4.2.5 终止指定进程
为了解除文件占用,确保能顺利加密关键文件(如数据库、备份服务),BEAST 会遍历系统进程快照。
- 获取版本号与权限判断: 首先获取系统版本,并检查当前用户权限。
图17 GetVersionExW 代码视图
图18 CheckTokenMembership 代码视图
- 目标进程:
agntsvc.exe - 操作: 一旦发现该进程,立即调用
TerminateProcess将其关闭。 - 分析:
agntsvc.exe通常与某些数据库代理服务或企业级软件相关,关闭它意味着相关数据文件将被解锁并可被加密。
图19 load_str 获取进程名代码视图
图20 遍历进程并终止
4.2.6 挂载隐藏驱动器
为了最大化破坏范围,病毒不仅加密 C 盘,还会扫描系统中未分配驱动器号的卷。
- 操作: 判断驱动器类型,通过
GetLogicalDriveStringsW获取现有驱动器。
图21 GetDriveTypeW 代码视图
- 挂载逻辑: 扫描计算机的卷,获取卷的 GUID 路径(如
\\?\Volume{f9c7b1c8...}\),然后通过SetVolumeMountPointW将这些隐藏的卷挂载到新的盘符下,确保加密所有可用的存储空间。
图22 SetVolumeMountPointW 代码视图
图23 卷挂载字符串解密
图24 GetLogicalDriveStringsW 循环
4.2.7 受害者信息统计
在执行加密前,样本会向服务器发送请求。
- 地址:
https://iplogger.co/14KyV4.torrent - 分析:
iplogger.co是一个常见的 IP 追踪服务。攻击者利用它来统计受害者的 IP 地址、地理位置等信息,而非用于复杂的命令控制。这是一种低成本且隐蔽的上线统计方式。
图25 InternetOpenUrlW 发送请求代码视图
4.2.8 文件加密逻辑 (The Core)
这是勒索软件最核心的部分。
1.遍历文件: 遍历磁盘文件。
2.文件过滤: 避开特定的系统目录(如 Windows),防止系统崩溃导致无法支付赎金。
图26 文件遍历与路径过滤代码视图
3.获取文件大小: 使用 GetFileSizeEx 获取目标文件大小。
图27 GetFileSizeEx 代码视图
4.加密执行: 读取文件内容,采用 ChaCha20 算法进行流加密。
图28 ReadFile 读取文件代码视图
5.分块加密策略:
- 为了平衡速度与破坏性,BEAST 采取分块加密。
- 加密块大小:
0x20000(约 0.125MB)。 - 模式: 加密块 -> 未加密块 -> 加密块 -> 未加密块...
- 这种“斑马纹”式的加密方式足以破坏文件结构,同时大幅缩短大文件的加密时间。
图29 SetFilePointerEx 和 WriteFile 循环代码视图
图30 分块加密结构示意图
6.写入标志: 加密完成后,会在文件末尾写入加密标志及相关元数据,包括 CRC32 校验密钥。
- 文件尾部特征:
0x00... 0x66, 0x6B, 0xEA, 0x57, 0x1A, 0xBE, 0x16, 0x66
0x00, 0x00, 0x00, 0x00,0x00, 0x00, 0x66, 0x6B, 0xEA, 0x57, 0x1A, 0xBE, 0x16, 0x66
BEAST 勒索家族虽然技术上并未展现出颠覆性的创新(依然是主流加密算法的组合),但其 针对性的区域规避策略、对特定服务的精准打击(如杀进程、挂载隐藏卷)以及 高效的分块加密算法,使其成为制造业等实体行业数据安全的重大威胁。
针对此类威胁,建议企业采取以下防护措施:
1.资产梳理与加固: 定期排查对外暴露的 RDP 服务,关闭不必要的端口,并启用多因素认证 (MFA)。
2.数据备份: 严格执行 3-2-1 备份策略,且必须包含离线备份。由于 BEAST 会挂载隐藏卷并清空回收站,在线备份极易同时被毁。
3.终端防护: 部署具备行为检测能力的 EDR 产品,及时拦截修改注册表启动项、异常挂载驱动器等可疑行为。
4.供应链关注: 鉴于其 RaaS 的特性,需警惕来自供应链上下游的潜在渗透风险。
