勒索攻击又称为“赎金木马”，是指网络攻击者通过对目标数据强行加密，导致企业核心业务停摆，以此要挟受害者支付赎金进行解密。如同我们把钱放在保险箱，小偷没有撬开保险箱偷钱，反而把放保险箱的房间加了把锁。如果没有房间的钥匙，我们依然拿不到保险箱里的钱。

由于DarkSide使用了一种雇佣式的恶意程序分发策略（下述），因此与其相关的攻击事件中，各自的入侵手段表现了一定的差异性。
在已发现的部分事件中，DarkSide的使用者会通过已泄露账户等信息登录暴露在外的VDI设备，进而借助该设备进行局域网扫描并控制更多设备，最终投递DarkSide勒索软件本体。
DarkSide本体程序运行后，会利用COM接口进行提权，随后进行删除卷影数据、清空回收站、本地信息窃取、文件加密、显示勒索内容等勒索软件的常规操作。DarkSide在文件加密过程中使用Salsa20算法加密文件，但是使用RtlRandomEx生成的自定义矩阵进行加密，最后使用RSA-1024加密生成的矩阵，并将加密后的矩阵添加到加密后文件的末尾。

样本运行后，首先手动加载大量的导入函数：


之后对程序中的加密字符串加载到内存，并且进行系统语言检测，如果是俄文系统，则不再执行后续流程。对程序中全部的字符串进行base64解密，获得如下结果，大概内容为勒索文件夹/后缀名白名单，回连地址，勒索文本等。


如果加密字符串加载成功，并且系统语言判断通过，才进行后续流程。


之后检查样本进程权限，系统版本，如果验证失败也会结束进程。


之后进行服务相关操作，主要是进行服务创建，启动，删除操作。


服务属性如下：


样本对注册表的改动如下：



样本实际的功能基本都在sub_409f85函数中：


调用该函数后，首先会上传本机信息


通信内容如下：


后续大概内容如下：


样本通过salsa20+RSA进行对文件加密，使用salsa20进行文件加密，使用rsa加密salsa20密钥。加密完成后通过修改注册表显示勒索图片。


图片内容如下：


最后回传加密信息：



样本会以https方式回传本机信息


第二次网络请求会回传加密信息

·加强企业员工安全意识培训，不轻易打开陌生邮件或运行来历不明的程序；
·尽量避免危险端口对外开放，利用IPS、防火墙等设备对危险端口进行防护（445、139、3389等）；
·开启Windows系统防火墙，通过ACL等方式，对RDP及SMB服务访问进行加固；
·通过Windows组策略配置账户锁定策略，对短时间内连续登陆失败的账户进行锁定；
·加强主机账户口令复杂度及修改周期管理，并尽量避免出现通用或规律口令的情况；
·修改系统管理员默认用户名，避免使用admin、administrator、test等常见用户名；
·安装具备自保护的防病毒软件，防止被黑客退出或结束进程，并及时更新病毒库；
·及时更新操作系统及其他应用的高危漏洞安全补丁；
·定时对重要业务数据进行备份，防止数据破坏或丢失。
·边界增加安全网络入侵防护/检测系统(IPSIDS)、下一代防火墙等防范许欧式