影響惡劣的GlobeImposter勒索攻擊應如何防禦？

最新 03-02

近日，國內某機構遭受 GlobeImposter勒索病毒攻擊，導致業務相關文件被加密，對業務的連續性造成嚴重影響。安全監測與響應中心、威脅情報中心、安全團隊對此事件進行了緊密跟蹤與分析，認為本次事件不同於普通的勒索病毒事件。

普通的勒索病毒事件一般通過郵件、水坑攻擊、U盤擺渡等方式進入用戶系統，由惡意代碼自身的橫向移動功能（比如對MS17-010漏洞的利用）在內網繼續進行感染攻擊。通過對本次勒索攻擊事件的分析，我們發現本次攻擊相對普通的勒索事件的首要區別在於攻擊者在突破企業防護邊界後積極進行內網滲透，繞過安全防護，並釋放勒索惡意代碼，具有極強的破壞性及針對性。

本次事件中，黑客從外網打開突破口後，會以工具輔助手工的方式，對內網其他機器進行滲透。黑客使用的工具主要來自一個壓縮包。所使用的工具包括但不限於：

1、全功能遠控木馬

2、自動化添加管理員的腳本

3、內網共享掃描工具

4、Windows 密碼抓取工具

5、網路嗅探、多協議暴破工具

6、瀏覽器密碼查看工具

攻擊者在打開內網突破口後，會在內網對其他主機進行口令暴破。在內網橫向移動至一台新的主機後，會嘗試進行包括但不限於以下操作：

1、手動或用工具卸載主機上安裝的防護軟體

2、下載或上傳黑客工具包

3、手動啟用遠程控制以及勒索病毒

安全監測與響應中心風險評級為：高危

預警等級：藍色預警（一般網路安全預警）

容易受攻擊組織影響的機構

本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務密碼暴力破解，在進入內網後會進行多種方法獲取登陸憑據並在內網橫向傳播。綜上，符合以下特徵的機構將更容易遭到攻擊者的侵害：

1、存在弱口令且Windows遠程桌面服務(3389埠)暴露在互聯網上的機構。

2、內網Windows終端、伺服器使用相同或者少數幾組口令。

3、Windows伺服器、終端未部署或未及時更新殺毒軟體。

1.1、所有伺服器、終端應強行實施複雜密碼策略，杜絕弱口令。

1.2、杜絕使用通用密碼管理所有機器。

1.3、安裝殺毒軟體、終端安全管理軟體並及時更新病毒庫。

1.4、及時安裝漏洞補丁。

1.5、伺服器開啟關鍵日誌收集功能，為安全事件的追蹤溯源提供基礎。

2.1、對內網安全域進行合理劃分。各個安全域之間限制嚴格的 ACL，限制橫向移動的範圍。

2.2、重要業務系統及核心資料庫應當設置獨立的安全區域並做好區域邊界的安全防禦，嚴格限制重要區域的訪問許可權並關閉telnet、snmp等不必要、不安全的服務。

2.3、在網路內架設 IDS/IPS 設備，及時發現、阻斷內網的橫向移動行為。

2.4、在網路內架設全流量記錄設備，以及發現內網的橫向移動行為，並為追蹤溯源提供良好的基礎。

2.5、通過ACL禁止IP:54.37.65.160的出站方向訪問。

3.1、應用系統層面，需要對應用系統進行安全滲透測試與加固，保障應用系統自身安全可控。

3.2、對業務系統及數據進行及時備份，並驗證備份系統及備份數據的可用性。

3.3、建立安全災備預案，一但核心系統遭受攻擊，需要確保備份業務系統可以立即啟用；同時，需要做好備份系統與主系統的安全隔離工作，辟免主系統和備份系統同時被攻擊，影響業務連續性。

安全防護本身是一個動態的對抗過程，在以上安全加固措施的基礎上，日常工作中，還需要加強系統使用過程的管理與網路安全狀態的實時監測：

電腦中不使用不明來歷的U盤、移動硬碟等存儲設備；不接入公共網路，同時機構的內部網路中不運行不明來歷的設備接入。

要常態化的開展安全檢查和評估，及時發現安全薄弱環節，及時修補安全漏洞和安全管理機制上的不足，時刻保持系統的安全維持在一個相對較高的水平；（類似定期體檢）

及時關注並跟進網路安全的技術進步，有條件的單位，可以採取新型的基於大數據的流量的監測設備並配合專業的分析服務，以便做到蠕蟲病毒的第一時間發現、第一時間處置、第一時間溯源根除。

1.1 樣本初始化

勒索樣本在運行後首先判斷%LOCALAPPDATA%或%APPDATA%環境變數是否存在，如果存在則將自身複製到%LOCALAPPDATA%或%APPDATA%目錄，之後將複製後的路徑寫入：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck 從而實現開機啟動