【病毒】GlobeImposter 勒索病毒

一 、来自 360 的报道

近日多地接连爆出被勒索病毒攻击的事件,勒索病毒一旦中招,就几乎无法通过技术手段进行解密 —— 用户只能被迫舍弃数据或交付赎金来解决。因此与其它病毒木马的 “ 事前防御 + 事后查杀 ” 的常规防治策略有所不同,对于勒索病毒重在防御,几乎需要完全放在 “ 事前防御 ” 这一项上 —— 因为一旦中了,损失几乎是不可挽回的,即便查杀往往也于事无补。

今天,我们希望通过对目前外网流行的勒索病毒所常规采用的入侵手段进行一个简要汇总,希望广大用户能够有所防范。

Step 1. 打开城门,从外部入侵

随着勒索病毒的攻击目标的转移,投放手段也在进行对应的转变。早年以普通用户为主要目标的时代,勒索病毒的传播方式与传统木马病毒无异 —— 主要采用钓鱼邮件、IM 扩散、诱导下载、网页挂马等形式进行传播。这种传播方式虽然自动化程度较高,影响范围较大,但相应的针对性较低,而且大多数普通用户由于数据重要性不高而选择直接舍弃被加密数据,这也直接导致了病毒的勒索成功率很低。

而这两年,勒索病毒转向更有针对性的攻击各种服务器,故此原有的传播方式已不再适用于针对服务器的攻击,相应的 —— RDP 弱口令暴力破解成为了入侵的主力方式。

使用这种方式进行入侵的黑客,首先会使用网络工具在互联网上进行无差别的扫描,查找有可用端口暴露在互联网中的服务器。一旦发现,可再配合字典工具对端口对应的服务登录口令进行暴力破解,如果管理员设置的登录口令不够强,则黑客可能在短时间内轻松破解并成功登录。

360 互联网安全中心在实际处理用户反馈的过程中,就捕获过黑客使用 Intercepter-NG 、NetworkShare 等网络扫描工具进行初步网络扫描发动攻击的案例。

网络扫描工具 Intercepter-NG 运行界面
网络扫描工具 Intercepter-NG 运行界面

某反馈案例中,360 互联网安全中心就曾接到某科技公司求助,称自己公司多台服务器同时收到勒索病毒攻击,无法正常运行,数据损失严重。

而经过我们分析,该公司服务器最初暴露在互联网中的机器只有一台财务服务器,而恰恰是由于该服务器开启了远程桌面,并且设置了一个较弱的登录口令,导致最终被一个外部可疑 IP(据公开数据查询,可能来自于越南)破解了登录口令,直接成功登录到了管理员账户( Administrator )中:

外部可疑 IP 成功登录到系统管理员账户
外部可疑 IP 成功登录到系统管理员账户
可疑 IP 归属地查询
可疑 IP 归属地查询

Step 2. 内部渗透,通过失陷机器攻击内部网络

在完成了上述的步骤后,入侵者并不会止步于当前的成果。而是会利用当前登录的这台机器作为跳板,进一步对同一局域网内的其他机器进行二次入侵。在这一步骤中,黑客主要运用三种手段:

其一,在第一步中我们提及的各种网络扫描工具,同样适用于局域网内部。故此在此步骤中同样可以使用前文所提到的工具进行局域网内的二次入侵扫描。

其二,基于以往案例,360 互联网安全中心曾多次捕获过 mimikatz 、WebBrowserPassView 等各类密码嗅探工具在此类二次入侵的攻击中被使用。此类工具主要用于获取存储在机器本地的密码,从而大幅提高入侵内网其他机器的成功率。

密码提取工具 mimikatz 使用界面
密码提取工具 mimikatz 使用界面

其三,最近还开始出现了不少利用漏洞进行网络入侵并投放勒索病毒的案例:如之前发现的 JBOSS 的漏洞利用( CVE-2017-12149 、CVE-2010-0738 )、WebLogic 的漏洞利用( CVE-2017-10271 )、Tomcat 的漏洞利用等。

此外,需要特别注意的是近期多地爆发的勒索病毒事件。经分析,造成此事件的是 GlobeImposter 家族的最新变种 Ox4444 。此变种在核心功能代码方面,与之前的几款该家族变种几乎无差别。

Ox4444 变种与稍早前 NACRO 变种的功能代码相似度 99 % 以上
Ox4444 变种与稍早前 NACRO 变种的功能代码相似度 99 % 以上

但我们通过分析中招用户系统,发现此次变种的核心点并不在于勒索病毒本身,而是在于入侵方式:在该变种的传播中,首次用到了此间用于利用永恒之蓝漏洞的工具包 —— ShadowBrokers 。

用于利用永恒之蓝漏洞的 ShadowBrokers 工具包
用于利用永恒之蓝漏洞的 ShadowBrokers 工具包

可见虽然该漏洞早已修复,且曾经的大规模利用更是让不少管理人员早有防备,但黑客依然不会放过任何一个可能成功入侵的方式。

说回到具体案例:同样是在上面提到的反馈案例中,在我们继续分析其他中招机器的时候,发现这些机器大多没有直接连接互联网,而入侵这些内部服务器的源头,则正是我们上面提到直接被外部可疑 IP 入侵的财务服务器:

遭到局域网 IP 二次入侵的机器
遭到局域网 IP 二次入侵的机器

Step 3. 干掉守卫,通过各类工具创造投毒环境

而无论是外部的直接入侵,还是通过跳板的二次入侵。在入侵之后,黑客的核心目的依然是对服务器系统中的数据进行加密。而在这之前,首先要对系统的环境做一个简单的 “ 清理 ” 用以给病毒投放铺路。

此时,各种进程管理类工具或 Rootkit 工具就派上了用场。基于以往案例,ProcessHacker 由于其功能的强大成为了出场率最高的工具。黑客往往会使用它结合获取到的系统管理员权限,结束安全软件或其他一些备份类软件的进程,有时也会用于清理数据库服务,以免勒索病毒无法顺利加密数据文件:

进程管理工具 ProcessHacker 运行界面
进程管理工具 ProcessHacker 运行界面

Step 4. 投放病毒 & 打扫战场

最终,一切前期工作完成,此时黑客已经拥有了系统管理员权限,并且系统中也不再有任何安全、备份类软件干扰病毒发挥作用。此时的黑客便可肆无忌惮的直接向系统内投放勒索病毒进行加密、勒索工作。

此外,有些黑客还会同时投放远控木马或后门程序,方便以后的再次登录,实现对被入侵机器的后续长期控制。

综上所述,完整的一套入侵投毒流程,先决条件是黑客可以成功入侵到一台暴露在互联网上的机器中。这一步失败,则黑客无计可施,而这一步成功,黑客就已经成功了大半。而如果此时内网的机器同样存在弱口令或存在漏洞等问题,即便这些机器并未直接暴露于互联网中,也会在存在内网跳板的情况下遭到黑客的毒手,甚至有时会出现内网机器反复互相感染的情况。

黑客入侵投毒流程图
黑客入侵投毒流程图

归纳和建议

由上述归纳可见,黑客在前两步的时候已经拿到了服务器的管理员权限,可见后两步完全是水到渠成的操作,所以对当前勒索病毒的防范重点,必须放在防止黑客入侵上面。

360 互联网安全中心给出如下八点建议:

  1. 避免在服务器中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令有足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。
  2. 多台机器不要使用相同或类似的登录口令,以免出现 “ 一台沦陷,全网瘫痪 ” 的惨状。
  3. 重要资料一定要定期隔离备份。此处尤其注意隔离,在以往的反馈案例中从来不乏确有备份,但由于在同一网络内,导致备份服务器一同被加密的情况。
  4. 及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
  5. 关闭非必要的服务和端口如 135 、139 、445 、3389 等高危端口。
  6. 严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
  7. 提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。
  8. 安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。

二 、GlobeImposter 勒索病毒预警

2018 年 8 月 21 日起多地发生 GlobeImposter 2.0 勒索病毒事件,经过定性分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,即使服务器上安装了相关安全软件,也会被黑客手动退出,导致文件被加密。病毒感染后的主要特征包括 Windows 服务器文件被加密、且加密文件的文件名后缀为 *.RESERVE 。根据本次事件特征分析,除已受到攻击的单位外其它单位也面临风险,需积极应对。

1 、技术分析

这次爆发的样本为 Globelmposter 2.0 家族的变种,其加密文件使用 RESERVE 扩展名,由于 Globelmposter 采用 RSA 2048 算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上 RESERVE 后缀。在被加密的目录下会生成一个名为 “ how_to_back_files ” 的 html 文件,显示受害者的个人 ID 序列号以及黑客的联系方式等。

how_to_back_files.html
how_to_back_files.html
how_to_back_files.html
how_to_back_files.html

病毒本体为一个 win32 exe 程序,其编译时间为 2018 / 4 / 3 。病毒运行后会将病毒本体复制到 %LOCALAPPDATA% 或 %APPDATA% 目录,接着会删除源文件并设置自启动项实现开机自启动,注册表项为:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck

注册表
注册表

2 、加密对象

可移动磁盘,固定磁盘,网络磁盘三种类型的磁盘。

加密对象
加密对象

3 、加密方式

样本通过 RSA 算法进行加密,先通过 CryptGenRandom 随机生成一组 128 位密钥对,然后使用样本中的硬编码的 256 位公钥生成相应的私钥,最后生成受害用户的个人 ID 序列号。病毒会遍历全盘,在排除样本中不加密文件夹列表后,使用随机生成的公钥加密其他所有文件,并将生成的个人 ID 序列号写入到加密文件末尾,如下图所示:

加密方式
加密方式

4 、隐藏行为

通过该病毒中的 bat 脚本文件能够删除:

  1. 磁盘卷影;
  2. 远程桌面连接信息;
  3. 日志信息,从而达到潜伏隐藏的目的,其中的删除日志功能,由于 bat 脚本中存在语法错误,所以未能删除成功。
隐藏行为
隐藏行为

5 、影响范围

  1. 存在弱口令且 Windows 远程桌面服务( 3389 端口)暴露在互联网上的组织;
  2. 且内网 Windows 终端、服务器使用相同或者少数几组口令;
  3. Windows 服务器、终端未部署或未及时更新安全加固软件和杀毒软件。

6 、紧急处置方案

( 1 )对于已受侵害的服务器须下线并隔离;

( 2 )对于暂未受侵害的服务器:

  1. 在网络边界防火墙上全局关闭 3389 端口或 3389 端口只对特定 IP 开放;
  2. 开启 Windows 防火墙,尽量关闭 3389 、445 、139 、135 等不用的高危端口;
  3. 每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号的组合,口令位数足够长(15 位、三种组合及以上)。

7 、持续改进方案

对于已下线且隔离的服务器,联系专业技术服务机构进行日志及样本分析。

( 1 )服务器、终端防护

  1. 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;
  2. 杜绝使用通用密码管理所有计算机;
  3. 安装杀毒软件、终端安全管理软件并及时更新;
  4. 及时安装漏洞补丁;
  5. 服务器开启关键日志收集功能。

( 2 )网络防护与安全监测

  1. 对内网安全域进行合理划分,各个安全域之间限制严格的 ACL ,限制横向移动的范围;
  2. 重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭 Telnet 、SNMP 等不必要、不安全的服务;
  3. 在网络内架设 IDS / IPS 设备,及时发现、阻断内网的横向移动行为;
  4. 在网络内架设全流量记录设备,以及发现内网的横向移动行为,并为追踪溯源提供良好的基础。

8 、应用系统防护及数据备份

  1. 应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控;
  2. 对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性;
  3. 建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。

 

参考自:

  • http://www.twwtn.com/detail_258466.htm
  • https://baijiahao.baidu.com/s?id=1609688818499667862&wfr=spider&for=pc
打赏作者
这里是 “ CCIE 工程师社区 ” 官方的捐款通道,您是否可以考虑请我们喝杯咖啡呢?

您的支持将鼓励我们继续创作!

[微信] 扫描二维码打赏

[支付宝] 扫描二维码打赏

Was this article helpful?

Related Articles

Leave A Comment?

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据