當前位置:
首頁 > 最新 > 影響惡劣的GlobeImposter勒索攻擊應如何防禦?

影響惡劣的GlobeImposter勒索攻擊應如何防禦?

近日,國內某機構遭受 GlobeImposter勒索病毒攻擊,導致業務相關文件被加密,對業務的連續性造成嚴重影響。安全監測與響應中心、 威脅情報中心、安全團隊對此事件進行了緊密跟蹤與分析,認為本次事件不同於普通的勒索病毒事件。

普通的勒索病毒事件一般通過郵件、水坑攻擊、U盤擺渡等方式進入用戶系統,由惡意代碼自身的橫向移動功能(比如對MS17-010漏洞的利用)在內網繼續進行感染攻擊。通過對本次勒索攻擊事件的分析,我們發現本次攻擊相對普通的勒索事件的首要區別在於攻擊者在突破企業防護邊界後積極進行內網滲透,繞過安全防護,並釋放勒索惡意代碼,具有極強的破壞性及針對性。

本次事件中,黑客從外網打開突破口後,會以工具輔助手工的方式,對內網其他機器進行滲透。黑客使用的工具主要來自一個壓縮包。所使用的工具包括但不限於:

1、全功能遠控木馬

2、自動化添加管理員的腳本

3、內網共享掃描工具

4、Windows 密碼抓取工具

5、網路嗅探、多協議暴破工具

6、瀏覽器密碼查看工具

攻擊者在打開內網突破口後,會在內網對其他主機進行口令暴破。在內網橫向移動至一台新的主機後,會嘗試進行包括但不限於以下操作:

1、手動或用工具卸載主機上安裝的防護軟體

2、下載或上傳黑客工具包

3、手動啟用遠程控制以及勒索病毒


安全監測與響應中心風險評級為:高危

預警等級:藍色預警(一般網路安全預警)

易受攻擊組織影響的機構

本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務密碼暴力破解,在進入內網後會進行多種方法獲取登陸憑據並在內網橫向傳播。綜上,符合以下特徵的機構將更容易遭到攻擊者的侵害:

1、存在弱口令且Windows遠程桌面服務(3389埠)暴露在互聯網上的機構。

2、內網Windows終端、伺服器使用相同或者少數幾組口令。

3、Windows伺服器、終端未部署或未及時更新殺毒軟體。


1.1、所有伺服器、終端應強行實施複雜密碼策略,杜絕弱口令。

1.2、杜絕使用通用密碼管理所有機器。

1.3、安裝殺毒軟體、終端安全管理軟體並及時更新病毒庫。

1.4、及時安裝漏洞補丁。

1.5、伺服器開啟關鍵日誌收集功能,為安全事件的追蹤溯源提供基礎。

2.1、對內網安全域進行合理劃分。各個安全域之間限制嚴格的 ACL,限制橫向移動的範圍。

2.2、重要業務系統及核心資料庫應當設置獨立的安全區域並做好區域邊界的安全防禦,嚴格限制重要區域的訪問許可權並關閉telnet、snmp等不必要、不安全的服務。

2.3、在網路內架設 IDS/IPS 設備,及時發現、阻斷內網的橫向移動行為。

2.4、在網路內架設全流量記錄設備,以及發現內網的橫向移動行為,並為追蹤溯源提供良好的基礎。

2.5、通過ACL禁止IP:54.37.65.160的出站方向訪問。


3.1、應用系統層面,需要對應用系統進行安全滲透測試與加固,保障應用系統自身安全可控。

3.2、對業務系統及數據進行及時備份,並驗證備份系統及備份數據的可用性。

3.3、建立安全災備預案,一但核心系統遭受攻擊,需要確保備份業務系統可以立即啟用;同時,需要做好備份系統與主系統的安全隔離工作,辟免主系統和備份系統同時被攻擊,影響業務連續性。

安全防護本身是一個動態的對抗過程,在以上安全加固措施的基礎上,日常工作中,還需要加強系統使用過程的管理與網路安全狀態的實時監測:

電腦中不使用不明來歷的U盤、移動硬碟等存儲設備;不接入公共網路,同時機構的內部網路中不運行不明來歷的設備接入。

要常態化的開展安全檢查和評估,及時發現安全薄弱環節,及時修補安全漏洞和安全管理機制上的不足,時刻保持系統的安全維持在一個相對較高的水平;(類似定期體檢)

及時關注並跟進網路安全的技術進步,有條件的單位,可以採取新型的基於大數據的流量的監測設備並配合專業的分析服務,以便做到蠕蟲病毒的第一時間發現、第一時間處置、第一時間溯源根除。


1.1 樣本初始化

勒索樣本在運行後首先判斷%LOCALAPPDATA%或%APPDATA%環境變數是否存在,如果存在則將自身複製到%LOCALAPPDATA%或%APPDATA%目錄,之後將複製後的路徑寫入:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck 從而實現開機啟動

生成RSA私鑰並使用硬編碼公鑰加密,之後將加密後的密文轉換為ASCII碼,最後將密文寫入%ALLUSERSPROFILE% 變數路徑中

1.2 加密流程

初始化完成後開始進入加密流程,病毒會遍歷全盤,在排除樣本中不加密文件夾列表後,使用隨機生成的公鑰加密其他所有文件,之後將之前生成的機器唯一標識寫入文件末尾

排除的路徑如下::


樣本為delphi編寫的遠控木馬的Server端,包含了常見的遠程控制功能及遠程操作功能,中招機器可被完全控制。

2.1環境檢測

程序啟動首先進行一系列環境檢測,檢測失敗則退出進程。檢測包括調試檢測、調試模塊檢測、API hook檢測、虛擬機沙箱檢測等。如下所示:

1) 調試模塊檢測

2) 本地和遠程調試調試檢測

3) 檢測虛擬機,通過查詢「0」鍵,檢測」VIRTUAL」欄位,檢測是否在VM虛擬機或者VBOX

4) 檢測Cuckoo 沙箱

5) 檢測WINE

6) 檢測CWSandbox

7) 檢測JoeBox 和 Anubis

8) 檢測ShellExecuteExW是否被hook

如上的一系列檢測如不通過,則退出程序

2.2木馬初始化

解密配置信息,key:PuBAanR08QJw3AjM

Copy自身至如下之一的目錄,文件名aspbcn.exe

並寫入啟動項

完成後重新啟動寫入啟動項的進程,並退出自身。

下載並解壓sqlite模塊

嘗試提升許可權

建立連接,IP 54.37.65.160 埠:0xCFD8,發送一些基本的系統基本信息,磁碟信息,PC名,賬戶信息等等至遠程。

2.3 後門指令部分

進入後門命令循環,功能很全面的木馬,操作包括文件相關,進程相關,服務相關,註冊表相關,系統控制,屏幕截圖,防火牆,DDOS攻擊等。列舉部分如下:

1) 一些基本指令,遠控常見的如文件相關,進程相關,服務相關,註冊表相關

2) 通過windows API模擬滑鼠操作,控制系統

3) 獲取瀏覽器保存的賬戶信息

4) Udp Flood Attack

5) TCP SYN Attack

6) 埠轉發功能模塊,通過埠轉發可以對內網的其他不能連外網的機器進行控制

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 瘋貓網路 的精彩文章:

從一道CTF題目看Gopher攻擊MySql
通過CVE-2017-17215學習路由器漏洞分析,從入坑到放棄

TAG:瘋貓網路 |