騰訊御見威脅情報中心（下稱騰訊安全）于2018.8.26日監(jiān)控到國內(nèi)某重要通信廠商多地子公司發(fā)生GlobeImposter勒索病毒攻擊事件，其中病毒樣本攻擊變種與8.24日騰訊安全發(fā)布的GlobeImposter勒索病毒預(yù)警中樣本有所區(qū)別，其加密后將文件后綴名改為“WALKER”。 0x1?概述 騰訊御見威脅情報中心（下稱騰訊安全）于2018.8.26日監(jiān)控到國內(nèi)某重要通信廠商多地子公司發(fā)生GlobeImposter勒索病毒攻擊事件，其中病毒樣本攻擊變種與8.24日騰訊安全發(fā)布的GlobeImposter勒索病毒預(yù)警中樣本有所區(qū)別，其加密后將文件后綴名改為“WALKER”。 經(jīng)過騰訊安全緊急分析，此次GlobeImposter勒索病毒變種攻擊的主要方式仍是暴力破解RDP遠(yuǎn)程登錄密碼后，再進(jìn)一步在內(nèi)網(wǎng)橫向滲透。值得注意的是，與近期其他版本勒索病毒主要針對服務(wù)器以及數(shù)據(jù)庫文件加密不同，此次爆發(fā)的GlobeImposter勒索病毒并不區(qū)分被入侵機(jī)器是否服務(wù)器，一旦入侵成功后直接感染。除個別路徑外，所有文件都被加密為后輟名為“WALKER”的文件。 除上述某重要通信廠商外，騰訊安全監(jiān)控到7月底開始有不同行業(yè)的各企業(yè)遭受此次WALKER變種攻擊。攻擊者疑似有意選擇8.25日-8.26日周末期間進(jìn)行大規(guī)模入侵，我們預(yù)測近一周可能有較多企業(yè)遭受類似攻擊。 GlobeImposter勒索病毒在一段時間內(nèi)并無實(shí)質(zhì)性技術(shù)更新，近日在部分企業(yè)內(nèi)網(wǎng)爆發(fā)，對個人電腦用戶影響較小。我們提醒企業(yè)用戶高度重視近期GlobeImposter勒索病毒的破壞行為，提前備份關(guān)鍵業(yè)務(wù)系統(tǒng)，避免遭遇勒索病毒破壞之后業(yè)務(wù)系統(tǒng)出現(xiàn)嚴(yán)重?fù)p失。 對于已經(jīng)中毒的系統(tǒng)，建議在內(nèi)網(wǎng)下線處理，病毒清理完畢才能重新接入網(wǎng)絡(luò)。內(nèi)網(wǎng)其他未中毒的電腦，使用弱口令登錄的建議盡快修改，使用由字母、數(shù)字和特殊字符組合的復(fù)雜密碼，避免攻擊者暴力破解成功（企業(yè)網(wǎng)管可配置強(qiáng)制使用強(qiáng)壯密碼，杜絕使用弱密碼登錄）；及時修復(fù)操作系統(tǒng)補(bǔ)丁，避免因漏洞導(dǎo)致攻擊入侵事件發(fā)生；終端用戶若不使用遠(yuǎn)程桌面登錄服務(wù)，建議關(guān)閉；局域網(wǎng)內(nèi)已發(fā)生勒索病毒入侵的，可暫時關(guān)閉135，139，445端口（暫時禁用Server服務(wù)）以減少遠(yuǎn)程入侵的可能。 0x2?影響評級 高危，黑客首先會入侵企業(yè)內(nèi)網(wǎng)，之后再通過暴力破解RDP和SMB服務(wù)在內(nèi)網(wǎng)繼續(xù)擴(kuò)散。除個別文件夾外，都被加密，除非得到密鑰，受損文件無法解密還原。 ? 0x3?影響面 Windows系統(tǒng)的電腦會被波及，目前，御見威脅情報中心發(fā)現(xiàn)廣東、河南、黑龍江等地已有多個企業(yè)受害，預(yù)計近期還會有增加。 0x4?樣本分析 入侵分析 1、從某感染用戶機(jī)器上可以看到，8月25日至8月26日凌晨有大量445端口爆破記錄 圖1 攻擊源是內(nèi)網(wǎng)中非本地區(qū)的某臺機(jī)器，顯示該企業(yè)內(nèi)各地分公司都已存在相應(yīng)風(fēng)險。 樣本分析 加密算法說明 勒索病毒使用了RSA+AES加密方式，加密過程中涉及兩對RSA密鑰(分別為黑客公私鑰和用戶公私鑰，分別用hacker_rsa_xxx和user_rsa_xxx表示這兩對密鑰)和一對AES密鑰。黑客RSA密鑰用于加密用戶RSA密鑰，用戶RSA密鑰用于加密AES密鑰，AES密鑰用于加密文件內(nèi)容。 具體的加密過程為：勒索病毒首先解碼出一個內(nèi)置的RSA公鑰(hacker_rsa_pub)，同時對每個受害用戶，使用RSA生成公私鑰（user_rsa_pub和user_rsa_pri），其中生成的密鑰信息使用內(nèi)置的RSA公鑰(hacker_rsa_Public)進(jìn)行加密后，做為用戶ID。在遍歷系統(tǒng)文件，對符合加密要求的文件進(jìn)行加密。對每個文件，通過CoCreateGuid生成一個唯一標(biāo)識符，并由該唯一標(biāo)識符最終生成AES密鑰(記為file_aes_key)，對文件進(jìn)行加密。在加密文件的過程中，該唯一標(biāo)識符會通過RSA公鑰?(user_rsa_pub)?加密后保存到文件中。 黑客在收到贖金、用戶ID和文件后，通過自己的私鑰(hacker_rsa_pri)解密用戶ID,可以得到user_rsa_pri，使用user_rsa_pri解密文件，就可以得到文件的file_aes_key，進(jìn)而可以通過AES算法解密出原始文件。 圖2 自啟動分析 惡意代碼樣本為了防止被輕易地分析，加密了大多數(shù)字符串和一部分API，運(yùn)行后會在內(nèi)存中動態(tài)解密，解密后可以看到樣本在加密時排除的文件夾與后綴名。首先獲取環(huán)境變量“%LOCALAPPADATA%”、“%APPDATA%”的路徑，若獲取不到則退出；獲取到后，將自身拷貝到該目錄下，然后添加自啟動項。 ? 圖3 復(fù)制之后，將路徑寫到以下注冊表項中 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck，使得自身能夠開機(jī)自啟動 圖4 加密過程分析 獲取當(dāng)前機(jī)器上每個盤符： 圖5 對每個盤符分別創(chuàng)建一個線程，進(jìn)行文件加密 圖6 加密文件前，首先會過濾掉后綴為.WALKER，文件名為HOW_TO_BACK_FILES.html以及保存用戶ID的文件，此外還會過濾掉如下路徑下的文件： 圖7 然后進(jìn)行加密 圖8 GlobeImposter對文件的加密使用的是AES加密算法。AES加密的KEY在本地隨機(jī)生成。首先AES加密時的IV參數(shù)由當(dāng)前文件的大小和文件路徑共同生成。IV參數(shù)將MD(filesize|| filename )后取前16位。 圖9 將IV與另外生成的secret key使用MBEDTLS_MD_SHA256計算2次HASH，并將HASH結(jié)果做為AES加密的KEY 圖10 隨后，使用內(nèi)置的RSA公鑰將guid進(jìn)行加密，并將加密過的guid及用戶ID寫入到當(dāng)前文件中。 圖11 最后用AES加密文件內(nèi)容 圖12 自刪除分析 通過調(diào)用CMD /c del，來進(jìn)行自刪除 圖13 在Temp目錄下，釋放.bat腳本文件，主要用來刪除遠(yuǎn)程桌面連接信息文件default.rdp，并通過wevtutil.exe cl命令刪除日志信息 圖14 解密出來的bat文件內(nèi)容如下 @echo off vssadmin.exe Delete Shadows /All /Quiet reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" cd %userprofile%\documents\ attrib Default.rdp -s -h del Default.rdp for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1" ? ? 0x5?解決方案 ?? 全網(wǎng)安裝專業(yè)的終端安全管理軟件，由管理員批量殺毒和安裝補(bǔ)丁，后續(xù)定期更新各類系統(tǒng)高危補(bǔ)丁。 ?? 部署流量監(jiān)控/阻斷類設(shè)備/軟件，便于事前發(fā)現(xiàn),事中阻斷和事后回溯。 ?? 建議由于其他原因不能及時安裝補(bǔ)丁的系統(tǒng)，考慮在網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴(yán)格的訪問控制策略，以保證網(wǎng)絡(luò)的動態(tài)安全。 ?? 建議對于存在弱口令的系統(tǒng)，需在加強(qiáng)使用者安全意識的前提下，督促其修改密碼，或者使用策略來強(qiáng)制限制密碼長度和復(fù)雜性。 ?? 建議對于存在弱口令或是空口令的服務(wù)，在一些關(guān)鍵服務(wù)上，應(yīng)加強(qiáng)口令強(qiáng)度，同時需使用加密傳輸方式，對于一些可關(guān)閉的服務(wù)來說，建議關(guān)閉不要的服務(wù)端口以達(dá)到安全目的。不使用相同口令管理多臺關(guān)鍵服務(wù)器。 ?? 建議網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員關(guān)注安全信息、安全動態(tài)及最新的嚴(yán)重漏洞，攻與防的循環(huán)，伴隨每個主流操作系統(tǒng)、應(yīng)用服務(wù)的生命周期。 ?? 建議對數(shù)據(jù)庫賬戶密碼策略建議進(jìn)行配置，對******錯誤登錄次數(shù)、超過有效次數(shù)進(jìn)行鎖定、密碼有效期、到期后的寬限時間、密碼重用等策略進(jìn)行加固設(shè)置。 ?? 建議對數(shù)據(jù)庫的管理訪問節(jié)點(diǎn)地址進(jìn)行嚴(yán)格限制，只允許特定管理主機(jī)IP進(jìn)行遠(yuǎn)程登錄數(shù)據(jù)庫。 為防止黑客入侵，需要更加完善的防護(hù)體系：各終端使用騰訊御點(diǎn)防止病毒攻擊，御點(diǎn)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助醫(yī)療機(jī)構(gòu)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)信息安全。 除此之外，在內(nèi)網(wǎng)部署騰訊御界高級威脅檢測系統(tǒng)、騰訊御見安全態(tài)勢感知平臺和騰訊御知網(wǎng)絡(luò)空間風(fēng)險雷達(dá)等產(chǎn)品，在終端安全、邊界安全、網(wǎng)站監(jiān)測、統(tǒng)一監(jiān)控方面建立一套集風(fēng)險監(jiān)測、分析、預(yù)警、響應(yīng)和可視化為一體的安全體系，全方位立體化保障企業(yè)用戶的網(wǎng)絡(luò)安全，及時阻止黑客入侵。 為防止遭勒索病毒攻擊，各企業(yè)用戶應(yīng)及時給服務(wù)器打好安全補(bǔ)丁，盡量關(guān)閉不必要的文件共享、端口和服務(wù)，采用高強(qiáng)度的唯一服務(wù)器帳號/密碼并定期更換，對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置訪問控制，在終端電腦上使用騰訊?“御點(diǎn)”防御病毒木馬攻擊。 圖15 同時，推薦企業(yè)用戶關(guān)鍵業(yè)務(wù)配置備份系統(tǒng)，將重要業(yè)務(wù)數(shù)據(jù)創(chuàng)建多個備份和異地備份，避免備份數(shù)據(jù)也被勒索病毒破壞。一旦有病毒感染事件發(fā)生，也可快速恢復(fù)重建業(yè)務(wù)系統(tǒng)，避免重大損失發(fā)生。 個人用戶可及時安裝操作系統(tǒng)漏洞補(bǔ)丁，安全備份重要數(shù)據(jù)及文件，同時開啟文檔守護(hù)者以免遭勒索病毒破壞。