360威胁情报:GlobeImposter勒索病毒攻击事件分析

360企业安全监测到,2018年8月21日起多地发生GlobeImposter勒索病毒事件,经过定性分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。根据本次事件特征分析,除已受到攻击的单位外,其它同类型单位也面临风险,需积极应对。

文档信息

文档名称 GlobeImposter勒索攻击事件安全预警通告第三次更新
关键字 勒索病毒GlobeImposter
发布日期 2018年2月26日
更新日期 2018年8月23日
分析团队 360安全监测与响应中心,360威胁情报中心,360安服团队、360天擎

 

事件信息

360企业安全监测到2018年8月21日起,多地发生GlobeImposter勒索病毒事件,经过定性分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。

360安全监测与响应中心、 360 威胁情报中心、360安服团队、360天擎对此事件进行了紧密跟踪与分析,认为本次事件不同于普通的勒索病毒事件。

勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击。然而,从2016年下半年开始,随着Crysis/XTBL的出现,通过RDP弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。到了2018年,几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,这其中以GlobeImposter、Crysis为代表,感染用户数量最多,破坏性最强。360安全监测与响应中心在2018年8月16日发布的《GandCrab病毒勒索攻击安全预警通告》中涉及到的GandCrab病毒也是采用RDP弱口令暴力破解服务器密码人工投毒的方式进行勒索。

根据本次事件特征分析,除已受到攻击的单位外,其它同类型单位也面临风险,需积极应对。

黑客突破边界防御后,会以工具辅助手工的方式,对内网其他机器进行渗透。通过对多个现场的调查,黑客所使用的工具包括但不限于:

  1. 全功能远控木马
  2. 自动化添加管理员的脚本
  3. 内网共享扫描工具
  4. Windows 密码抓取工具
  5. 网络嗅探、多协议暴破工具
  6. 浏览器密码查看工具

攻击者在打开内网突破口后,会在内网对其他主机进行口令暴破。在内网横向移动至一台新的主机后,会尝试进行包括但不限于以下操作:

  1. 手动或用工具卸载主机上安装的防护软件
  2. 下载或上传黑客工具包
  3. 手动启用远程控制以及勒索病毒

风险等级

360安全监测与响应中心风险评级为:高危

预警等级:蓝色预警(一般网络安全预警)

容易受攻击组织影响的机构

本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。

综上,符合以下特征的机构将更容易遭到攻击者的侵害:

  1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。
  2. 内网Windows终端、服务器使用相同或者少数几组口令。
  3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件

处置建议

紧急解决方案

针对本次攻击事件,我们提供紧急解决方案如下:

一、紧急处置方案

1、对于已中招服务器

下线隔离。

2、对于未中招服务器

1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。

2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。

3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

二、后续跟进方案

1)对于已下线隔离中招服务器,联系专业技术服务机构进行日志及样本分析。

服务器、终端防护

1.  所有服务器、终端应强行实施复杂密码策略,杜绝弱口令

2.  杜绝使用通用密码管理所有机器

3.  安装杀毒软件、终端安全管理软件并及时更新病毒库

4.  及时安装漏洞补丁

5.  服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础

网络防护与安全监测

1.   对内网安全域进行合理划分。各个安全域之间限制严格的 ACL,限制横向移动的范围。

2.   重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。

3.   在网络内架设 IDS/IPS 设备,及时发现、阻断内网的横向移动行为。

4.   在网络内架设全流量记录设备,以及发现内网的横向移动行为,并为追踪溯源提供良好的基础。

应用系统防护及数据备份

1.   应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。

2.   对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。

3.   建立安全灾备预案,一但核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,辟免主系统和备份系统同时被攻击,影响业务连续性。

安全防护本身是一个动态的对抗过程,在以上安全加固措施的基础上,日常工作中,还需要加强系统使用过程的管理与网络安全状态的实时监测:

电脑中不使用不明来历的U盘、移动硬盘等存储设备;不接入公共网络,同时机构的内部网络中不运行不明来历的设备接入。

要常态化的开展安全检查和评估,及时发现安全薄弱环节,及时修补安全漏洞和安全管理机制上的不足,时刻保持系统的安全维持在一个相对较高的水平;(类似定期体检)

及时关注并跟进网络安全的技术进步,有条件的单位,可以采取新型的基于大数据的流量的监测设备并配合专业的分析服务,以便做到蠕虫病毒的第一时间发现、第一时间处置、第一时间溯源根除。

技术分析

勒索样本分析

1.样本初始化

勒索样本在运行后首先判断%LOCALAPPDATA%或%APPDATA%环境变量是否存在,如果存在则将自身复制到%LOCALAPPDATA%或%APPDATA%目录,之后将复制后的路径写入:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck 从而实现开机启动。                                              

生成RSA私钥并使用硬编码公钥加密,之后将加密后的密文转换为ASCII码,最后将密文写入%ALLUSERSPROFILE% 变量路径中。

2.加密流程

初始化完成后开始进入加密流程,病毒会遍历全盘,在排除样本中不加密文件夹列表后,使用随机生成的公钥加密其他所有文件,之后将之前生成的机器唯一标识写入文件末尾。

排除的路径如下:

Windows

Microsoft

Microsoft Help

Windows App Certification Kit

Windows Defender

ESET

COMODO

Windows NT

Windows Kits

Windows Mail

Windows Media Player

Windows Multimedia PlatformWindows Phone Kits

Windows Phone Silverlight Kits

Windows Photo Viewer

Windows Portable Devices

Windows Sidebar

Windows PowerShell

NVIDIA Corporation

Microsoft .NET

Internet Explorer

Kaspersky Lab

McAfe

Avira

spytech software

sysconfig

Avast

DrWeb

Symantec

Symantec_Client_Security

system volume information

AVG

Microsoft Shared

Common Files

Outlook Express

Movie Maker

Chrome

Mozilla Firefox

Opera

YandexBrowser

ntldr

Wsus

ProgramData

时间线

[1] 2018年2月26日-360安全监测与响应中心发布预警通告

[2] 2018年2月27日-360安全监测与响应中心第二次发布预警通告

[3] 2018年8月23日-360安全监测与响应中心第三次发布预警通告

原文链接:https://www.anquanke.com/post/id/157562

上一篇:S2-057漏洞原作者自述:如何利用自动化工具发现5个RCE

下一篇:Anubis回来了,你准备好了吗