勒索病毒屢屢進犯 看啟明星辰的整體解決方案

發布時間 2019-03-15
近日,Globelmposter以及GandCrab勒索病毒變種再度肆虐互聯網,給國內很多企業機構帶來重大損失。下面我們就這兩起重要的勒索病毒攻擊事件進行分析匯總,同時基于相關事件推出啟明星辰勒索病毒整體解決方案,并提醒廣大企業機構密切注意和防范。
 
事件一:
Globelmposter3.0變種再度襲擊國內多個醫療機構 

繼去年下半年在國內醫療機構爆發Globelmposter勒索病毒以來,今年3月,該勒索病毒3.0版本變種再次襲擊國內多家大型醫院。感染后,數據庫被加密破壞,文件被加密并重命名為.snake4444擴展名,并要求用戶通過郵件溝通贖金跟解密密鑰。該病毒主要通過RDP弱口令爆破入侵服務器,繼而利用已經攻陷的設備做跳板攻擊內網內其他主機。

樣本分析:

(1)樣本在執行開始時會對PE文件的完整性進行驗證,如果都通過則進入主體流程。

(2)程序進入主流程之后會從自身資源區直接獲取一段加密的shellcode并賦值到開辟好的內存塊中。
 

這段shellcode的前8字節與另一段16字節的key一起作為shellcode的解密KEY對shellcode每8個字節進行一次解密。
 

解密算法如下:
 

(3)然后程序會調用VirtualProctet對存放這段shellcode的內存區域賦予可執行權限,并跳轉到該shellcode進行執行。這段shellcode會去尋找shellcode中內嵌的一個PE文件的位置,并申請一段內存將其拷貝到申請到的內存空間中,然后將其PE頭和后續數據進行解密并覆寫到最開始的執行PE文件的PE頭和.text區段,然后動態獲取所需要的函數地址并重寫導入表,最后直接跳轉到修改好的代碼區域執行最終的勒索軟件主體。
 

(4)勒索軟件主體程序會判斷是否存在環境變量%appdata%,如果存在則將自身拷貝到該路徑下,如果不存在直接結束進程。然后緊接著創建注冊表項
Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck 并將存放在%appdata%的勒索軟件主體的路徑作為其值,來實現開機自啟動。

(5)接著判斷是否存在環境變量%public%和%ALLUSERSPROFILE%,如果都不存在則直接結束進程。這個判斷的主要目的是為了存放受害者主機生成的密鑰和唯一標識碼。

(6)之后開始遍歷進程,并使用taskkill命令結束掉進程名中含有如下字符串的進程。
 

(7)進程遍歷結束之后,遍歷所有盤符,查找磁盤屬性為移動磁盤、固定磁盤,網絡磁盤對應的盤符,然后找到多少個磁盤就創建多少個對應的線程加密對應磁盤內的數據。

(8)在遍歷文件時會判斷文件是否屬于排除路徑,如果不是才會被加密。

(9)文件的加密密鑰是由當前被加密的文件所決定,程序會獲取需要被加密的文件的文件路徑,大小,用戶ID來計算對應的AES密鑰,然后文件將會使用該密鑰加密,同時該密鑰會被硬編碼的RSA公鑰加密保存在文件中,被加密的文件會被附上新的后綴名(依勒索病毒版本變化),并且每個加密文件夾內會生成一個Read__Me.html來指導受害者如何支付贖金。

(10)最后會執行批處理刪除卷影副本和遠程桌面相關配置。
 
事件二:
黑客冒充公安部門發送釣魚郵件傳播GandCrab 5.2勒索病毒 

近日,國內有多個企事業單位收到了黑客冒充公安部門發送的釣魚郵件,釣魚郵件標題為“你必須在3月11日下午3點向警察局報到!”,釣魚郵件同時攜帶文件名為“03-11-2019.rar”的附件。附件中包含一個可執行文件,經過分析,該可執行文件為GandCrab勒索病毒5.2版本變種。

經過對攻擊者的分析,我們發現其IP地址主要位于韓國和俄羅斯。

目前已經發現的攻擊者郵箱如下:

Jae-Bong-Police@designerbasith.com
Jae-ho-policesupport@skinslotto.com
Jae-Bong-Police@skinslotto.com
Jae-jin@utista.com
Jae-joon@b4imports.com
Byung-chal@santafegiants.com
Jae-hyuk@santafegiants.com
Jae-hyun@b4imports.com
Jae-joon@skinslotto.com
Jae-hyuk@utista.com
Jae-beom@santafegiants.com
yung-ho@designerbasith.com
Jae-beom@utista.com
yung-ho@utista.com
Jae-hyun@skinslotto.com
Jae-hyun@idalbostian.com
Jae-jin@illwaitforthemovie.com
Jae-joon@illwaitforthemovie.com
Byung-chal@amazosicherheitsdienst.com
Byung-chal@blackmonlabs.com
Beom-seyk@idalbostian.com
Jae-ho-policesupport@idalbostian.com
yung-ho@illwaitforthemovie.com
Jae-hyun@illwaitforthemovie.com
yung-ho@idalbostian.com
Jae-hyun@amazosicherheitsdienst.com
 
截止到目前,我們在國內大部分地區均發現了感染案例。
 


樣本分析:

(1)樣本程序入口有很多花指令,以干擾靜態分析。
 


(2)疑似利用OpenProcess進行運行環境檢測,傳入的ProcessID為固定的0x2D,且有TERMINATE權限。比較返回值是否為INVALID_HANDLE_VALUE,不是繼續執行。如果是INVALID_HANDLE_VALUE,則獲取錯誤碼,并和0x57比較,等于繼續執行,不等于直接退出進程,0x57代表參數錯誤。

(3)同時為了對抗靜態檢測,病毒內嵌的字符串都是使用時再進行RC4解密。
 

(4)收集用戶的系統信息,包含賬號、機器名稱、系統版本等信息,并拼接成如下格式:

pc_user=* &pc_name=*&pc_group=*&pc_keyb=*&os_major=*&os_bit=*&ransom_id=*&hdd=*&id=*&sub_id=*&version=*&action=call。上述信息使用RC4算法加密,密鑰為.oj=294~!z3)9n-1,8^)o((q22)lb$。

(5)在收集完上述信息并加密后,會繼續查詢輸入法,發現有俄文輸入法,刪除自身文件,并退出進程。


沒有俄文輸入法的話,繼續檢測操作系統語言,對于如下國家的系統則自動放過加密:

419(俄羅斯)、422(烏克蘭)、423(比利時)、428(塔吉克)、42b(亞美尼亞)、42c(阿塞拜疆-阿里賽)、437(格魯吉亞)、43f(吉爾吉斯坦)、440(吉爾吉斯斯坦)、442(土庫曼)、443(烏茲別克斯坦)、444(韃靼斯坦)、818(羅馬尼亞)、819(俄羅斯-摩爾多瓦)、82c(阿塞拜疆)、843(烏茲別克)、45A(敘利亞)、2801(未知)


(6)查找并結束如下進程。

msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe、sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exeinfopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、synctime.exe、dbsnmp.exe、oracle.exe、sqlwriter.exe、ocomm.exe、sqlbrowser.exe、sqlagent.exe、thebat.exe、isqlplussvc.exe、msftesql.exe、agntsvc.exe、xfssvccon.exe、sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe、ocssd.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、mspub.exe、infopath.exe、msaccess.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe

(7)在內存里依次解密出RSA公鑰,需要加密的文件擴展名,不需要加密的文件擴展名。
 



(8)最終遍歷所有文件,使用Salsa20加密包含上述擴展名的文件,并追加隨機擴展名。加密機制如下:

a.生成32位和8位字節的隨機字符,作為Salsa20的密鑰和向量。

b.生成一對RSA密鑰,記為Session Prv Key和Session Pub Key,對于私鑰Session Prv Key使用上述生成的密鑰和向量進行Salsa20加密。公鑰Session Pub Key和加密后的Session Prv Key都保存在注冊表里。

c.用攻擊者的公鑰加密前面生成的Salsa20的密鑰和向量。

d.對每個被加密的文件,生成32和8位字節隨機字符,作為Salsa20的密鑰和向量。以此加密文件,且每個文件的Salsa20的密鑰和向量都不同。對這個Salsa20的密鑰和向量使用公鑰Session Pub Key加密。
 
解決方案 

面對屢屢爆發的勒索攻擊,啟明星辰推出“云端感知,網端檢測,終端防護,系統加固“的立體解決方案。

一、“云”端感知

在“云”端,VenusEye威脅情報中心監測全球勒索病毒態勢,推出匯集了超300種勒索病毒家族的搜索引擎(lesuo.venuseye.com.cn)。用戶可使用勒索病毒名,加密文件名等查詢到這些勒索病毒的情報信息,并獲得相關的解決方案及處置建議。
 

二、“網”端檢測

在“網”端可以部署:

天鏡脆弱性掃描與管理系統對包含勒索病毒利用漏洞的資產進行檢測;

天闐高級持續性威脅檢測與管理系統對網絡中的未知勒索病毒進行檢測;

天清郵件安全管理系統對郵件中的勒索病毒進行精準攔截;

天闐入侵檢測與管理系統,天清入侵防御系統斬斷勒索病毒的傳播途徑。
 
1、通過部署天鏡脆弱性掃描和管理系統,確認如下的掃描策略已經升級下發,并使用該策略進行勒索病毒利用漏洞的資產掃描:

(1) 通過SMB和RDP漏洞進行傳播的支持方法:


策略名稱如下:



策略包含的SMB漏洞如下:



策略包含的RDP漏洞如下:


 
(2)通過SMB和RDP弱口令進行傳播的支持方法:



下發弱口令掃描任務,選中,SMB和RDP:



使用最新的勒索病毒弱口令:



2、通過部署天闐高級持續性威脅檢測與管理系統,無需升級即可有效檢測流量中的未知勒索病毒。
 


3、通過部署天清郵件安全管理系統,精準發現通過郵件傳播的勒索病毒。
 

關于天清郵件安全管理系統針對勒索病毒的整體解決方案請參考:
https://mp.weixin.qq.com/s/BbRTP4FfKDV-BW08lFowWg
 
4、通過部署天闐入侵檢測與管理系統、天清入侵防御系統,并確認如下事件已經下發,即可有效檢測、阻斷勒索病毒通過弱口令以及漏洞進行傳播。


提示:當發現上述弱口令事件且源IP地址屬于非白名單IP時,則風險更大。
 
三、“終端”防護

在終端/服務器可以部署具備完善勒索病毒防護體系的景云網絡防病毒系統,形成勒索病毒的最后一道防線。

1、病毒檢測與實時監控功能可以有效檢測出已知勒索病毒。
 


2、開啟U盤防護功能,可以攔截通過移動存儲介質傳播的勒索病毒。
 






3、日常使用補丁掃描功能,及時修補各種系統補丁,防止勒索病毒通過系統漏洞進入。
 


4、景云還具有基于多步行為序列分析引擎實現的反勒索防護系統,實現勒索病毒的事前防御、事中監控攔截、事后恢復全套的閉環的三重縱深防護。




四、系統加固

在有效部署各種安全產品的同時,還應該對系統進行全方位加固,以確保萬無一失。

1、盡量關閉不必要的服務和端口。如:135,139,445端口,對于遠程桌面服務(3389),VNC服務需要進行白名單設置,僅允許白名單內的IP登陸。

2、禁用GUEST來賓用戶。盡量不要使用局域網共享,或把共享磁盤設置為只讀屬性,不允許局域網用戶改寫文件。

3、采用不少于10位的高強度密碼,并定期更換密碼。

4、及時更新系統,給系統打補丁,修補漏洞。

5、定期對重要文件以及數據庫做非本地備份。

6、不點擊來源不明的郵件以及附件,切斷勒索病毒的郵件傳播方式。