360威脅情報:GlobeImposter勒索病毒攻擊事件分析
責編:gltian |2018-08-23 14:11:39360企業(yè)安全監(jiān)測到,2018年8月21日起多地發(fā)生GlobeImposter勒索病毒事件,經(jīng)過定性分析,攻擊者在突破邊界防御后利用黑客工具進行內(nèi)網(wǎng)滲透并選擇高價值目標服務(wù)器人工投放勒索病毒。此攻擊團伙主要攻擊開啟遠程桌面服務(wù)的服務(wù)器,利用密碼抓取工具獲取管理員密碼后對內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒,導(dǎo)致文件被加密。病毒感染后的主要特征包括windows 服務(wù)器文件被加密、且加密文件的文件名后綴為*.RESERVE。根據(jù)本次事件特征分析,除已受到攻擊的單位外,其它同類型單位也面臨風險,需積極應(yīng)對。
文檔信息
| 文檔名稱 | GlobeImposter勒索攻擊事件安全預(yù)警通告第三次更新 |
| 關(guān)鍵字 | 勒索病毒GlobeImposter |
| 發(fā)布日期 | 2018年2月26日 |
| 更新日期 | 2018年8月23日 |
| 分析團隊 | 360安全監(jiān)測與響應(yīng)中心,360威脅情報中心,360安服團隊、360天擎 |
事件信息
360企業(yè)安全監(jiān)測到2018年8月21日起,多地發(fā)生GlobeImposter勒索病毒事件,經(jīng)過定性分析,攻擊者在突破邊界防御后利用黑客工具進行內(nèi)網(wǎng)滲透并選擇高價值目標服務(wù)器人工投放勒索病毒。此攻擊團伙主要攻擊開啟遠程桌面服務(wù)的服務(wù)器,利用密碼抓取工具獲取管理員密碼后對內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒,導(dǎo)致文件被加密。病毒感染后的主要特征包括windows 服務(wù)器文件被加密、且加密文件的文件名后綴為*.RESERVE。
360安全監(jiān)測與響應(yīng)中心、 360 威脅情報中心、360安服團隊、360天擎對此事件進行了緊密跟蹤與分析,認為本次事件不同于普通的勒索病毒事件。
勒索病毒之前的傳播手段主要以釣魚郵件、網(wǎng)頁掛馬、漏洞利用為主,例如Locky在高峰時期僅一家企業(yè)郵箱一天之內(nèi)就遭受到上千萬封勒索釣魚郵件攻擊。然而,從2016年下半年開始,隨著Crysis/XTBL的出現(xiàn),通過RDP弱口令暴力破解服務(wù)器密碼人工投毒(常伴隨共享文件夾感染)逐漸成為主角。到了2018年,幾個影響力最大的勒索病毒幾乎全都采用這種方式進行傳播,這其中以GlobeImposter、Crysis為代表,感染用戶數(shù)量最多,破壞性最強。360安全監(jiān)測與響應(yīng)中心在2018年8月16日發(fā)布的《GandCrab病毒勒索攻擊安全預(yù)警通告》中涉及到的GandCrab病毒也是采用RDP弱口令暴力破解服務(wù)器密碼人工投毒的方式進行勒索。
根據(jù)本次事件特征分析,除已受到攻擊的單位外,其它同類型單位也面臨風險,需積極應(yīng)對。
黑客突破邊界防御后,會以工具輔助手工的方式,對內(nèi)網(wǎng)其他機器進行滲透。通過對多個現(xiàn)場的調(diào)查,黑客所使用的工具包括但不限于:
- 全功能遠控木馬
- 自動化添加管理員的腳本
- 內(nèi)網(wǎng)共享掃描工具
- Windows 密碼抓取工具
- 網(wǎng)絡(luò)嗅探、多協(xié)議暴破工具
- 瀏覽器密碼查看工具
攻擊者在打開內(nèi)網(wǎng)突破口后,會在內(nèi)網(wǎng)對其他主機進行口令暴破。在內(nèi)網(wǎng)橫向移動至一臺新的主機后,會嘗試進行包括但不限于以下操作:
- 手動或用工具卸載主機上安裝的防護軟件
- 下載或上傳黑客工具包
- 手動啟用遠程控制以及勒索病毒
風險等級
360安全監(jiān)測與響應(yīng)中心風險評級為:高危
預(yù)警等級:藍色預(yù)警(一般網(wǎng)絡(luò)安全預(yù)警)
容易受攻擊組織影響的機構(gòu)
本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務(wù)密碼暴力破解,在進入內(nèi)網(wǎng)后會進行多種方法獲取登陸憑據(jù)并在內(nèi)網(wǎng)橫向傳播。
綜上,符合以下特征的機構(gòu)將更容易遭到攻擊者的侵害:
- 存在弱口令且Windows遠程桌面服務(wù)(3389端口)暴露在互聯(lián)網(wǎng)上的機構(gòu)。
- 內(nèi)網(wǎng)Windows終端、服務(wù)器使用相同或者少數(shù)幾組口令。
- Windows服務(wù)器、終端未部署或未及時更新安全加固和殺毒軟件
處置建議
緊急解決方案
針對本次攻擊事件,我們提供緊急解決方案如下:
一、緊急處置方案
1、對于已中招服務(wù)器
下線隔離。
2、對于未中招服務(wù)器
1)在網(wǎng)絡(luò)邊界防火墻上全局關(guān)閉3389端口或3389端口只對特定IP開放。
2)開啟Windows防火墻,盡量關(guān)閉3389、445、139、135等不用的高危端口。
3)每臺服務(wù)器設(shè)置唯一口令,且復(fù)雜度要求采用大小寫字母、數(shù)字、特殊符號混合的組合結(jié)構(gòu),口令位數(shù)足夠長(15位、兩種組合以上)。
二、后續(xù)跟進方案
1)對于已下線隔離中招服務(wù)器,聯(lián)系專業(yè)技術(shù)服務(wù)機構(gòu)進行日志及樣本分析。
服務(wù)器、終端防護
1. ?所有服務(wù)器、終端應(yīng)強行實施復(fù)雜密碼策略,杜絕弱口令
2. ?杜絕使用通用密碼管理所有機器
3. ?安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫
4.??及時安裝漏洞補丁
5.??服務(wù)器開啟關(guān)鍵日志收集功能,為安全事件的追蹤溯源提供基礎(chǔ)
網(wǎng)絡(luò)防護與安全監(jiān)測
1.???對內(nèi)網(wǎng)安全域進行合理劃分。各個安全域之間限制嚴格的 ACL,限制橫向移動的范圍。
2.???重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫應(yīng)當設(shè)置獨立的安全區(qū)域并做好區(qū)域邊界的安全防御,嚴格限制重要區(qū)域的訪問權(quán)限并關(guān)閉telnet、snmp等不必要、不安全的服務(wù)。
3.?? 在網(wǎng)絡(luò)內(nèi)架設(shè) IDS/IPS 設(shè)備,及時發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動行為。
4.?? 在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備,以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動行為,并為追蹤溯源提供良好的基礎(chǔ)。
應(yīng)用系統(tǒng)防護及數(shù)據(jù)備份
1.?? 應(yīng)用系統(tǒng)層面,需要對應(yīng)用系統(tǒng)進行安全滲透測試與加固,保障應(yīng)用系統(tǒng)自身安全可控。
2.???對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進行及時備份,并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性。
3.???建立安全災(zāi)備預(yù)案,一但核心系統(tǒng)遭受攻擊,需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用;同時,需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作,辟免主系統(tǒng)和備份系統(tǒng)同時被攻擊,影響業(yè)務(wù)連續(xù)性。
安全防護本身是一個動態(tài)的對抗過程,在以上安全加固措施的基礎(chǔ)上,日常工作中,還需要加強系統(tǒng)使用過程的管理與網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)測:
電腦中不使用不明來歷的U盤、移動硬盤等存儲設(shè)備;不接入公共網(wǎng)絡(luò),同時機構(gòu)的內(nèi)部網(wǎng)絡(luò)中不運行不明來歷的設(shè)備接入。
要常態(tài)化的開展安全檢查和評估,及時發(fā)現(xiàn)安全薄弱環(huán)節(jié),及時修補安全漏洞和安全管理機制上的不足,時刻保持系統(tǒng)的安全維持在一個相對較高的水平;(類似定期體檢)
及時關(guān)注并跟進網(wǎng)絡(luò)安全的技術(shù)進步,有條件的單位,可以采取新型的基于大數(shù)據(jù)的流量的監(jiān)測設(shè)備并配合專業(yè)的分析服務(wù),以便做到蠕蟲病毒的第一時間發(fā)現(xiàn)、第一時間處置、第一時間溯源根除。
技術(shù)分析
勒索樣本分析
1.樣本初始化
勒索樣本在運行后首先判斷%LOCALAPPDATA%或%APPDATA%環(huán)境變量是否存在,如果存在則將自身復(fù)制到%LOCALAPPDATA%或%APPDATA%目錄,之后將復(fù)制后的路徑寫入:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck 從而實現(xiàn)開機啟動。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
生成RSA私鑰并使用硬編碼公鑰加密,之后將加密后的密文轉(zhuǎn)換為ASCII碼,最后將密文寫入%ALLUSERSPROFILE% 變量路徑中。
2.加密流程
初始化完成后開始進入加密流程,病毒會遍歷全盤,在排除樣本中不加密文件夾列表后,使用隨機生成的公鑰加密其他所有文件,之后將之前生成的機器唯一標識寫入文件末尾。
排除的路徑如下:
Windows
Microsoft
Microsoft Help
Windows App Certification Kit
Windows Defender
ESET
COMODO
Windows NT
Windows Kits
Windows Mail
Windows Media Player
Windows Multimedia PlatformWindows Phone Kits
Windows Phone Silverlight Kits
Windows Photo Viewer
Windows Portable Devices
Windows Sidebar
Windows PowerShell
NVIDIA Corporation
Microsoft .NET
Internet Explorer
Kaspersky Lab
McAfe
Avira
spytech software
sysconfig
Avast
DrWeb
Symantec
Symantec_Client_Security
system volume information
AVG
Microsoft Shared
Common Files
Outlook Express
Movie Maker
Chrome
Mozilla Firefox
Opera
YandexBrowser
ntldr
Wsus
ProgramData
時間線
[1]?2018年2月26日-360安全監(jiān)測與響應(yīng)中心發(fā)布預(yù)警通告
[2]?2018年2月27日-360安全監(jiān)測與響應(yīng)中心第二次發(fā)布預(yù)警通告
[3]?2018年8月23日-360安全監(jiān)測與響應(yīng)中心第三次發(fā)布預(yù)警通告
原文鏈接:https://www.anquanke.com/post/id/157562
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!