360威脅情報:GlobeImposter勒索病毒攻擊事件分析
責編:gltian |2018-08-23 14:11:39360企業安全監測到,2018年8月21日起多地發生GlobeImposter勒索病毒事件,經過定性分析,攻擊者在突破邊界防御后利用黑客工具進行內網滲透并選擇高價值目標服務器人工投放勒索病毒。此攻擊團伙主要攻擊開啟遠程桌面服務的服務器,利用密碼抓取工具獲取管理員密碼后對內網服務器發起掃描并人工投放勒索病毒,導致文件被加密。病毒感染后的主要特征包括windows 服務器文件被加密、且加密文件的文件名后綴為*.RESERVE。根據本次事件特征分析,除已受到攻擊的單位外,其它同類型單位也面臨風險,需積極應對。
文檔信息
| 文檔名稱 | GlobeImposter勒索攻擊事件安全預警通告第三次更新 |
| 關鍵字 | 勒索病毒GlobeImposter |
| 發布日期 | 2018年2月26日 |
| 更新日期 | 2018年8月23日 |
| 分析團隊 | 360安全監測與響應中心,360威脅情報中心,360安服團隊、360天擎 |
事件信息
360企業安全監測到2018年8月21日起,多地發生GlobeImposter勒索病毒事件,經過定性分析,攻擊者在突破邊界防御后利用黑客工具進行內網滲透并選擇高價值目標服務器人工投放勒索病毒。此攻擊團伙主要攻擊開啟遠程桌面服務的服務器,利用密碼抓取工具獲取管理員密碼后對內網服務器發起掃描并人工投放勒索病毒,導致文件被加密。病毒感染后的主要特征包括windows 服務器文件被加密、且加密文件的文件名后綴為*.RESERVE。
360安全監測與響應中心、 360 威脅情報中心、360安服團隊、360天擎對此事件進行了緊密跟蹤與分析,認為本次事件不同于普通的勒索病毒事件。
勒索病毒之前的傳播手段主要以釣魚郵件、網頁掛馬、漏洞利用為主,例如Locky在高峰時期僅一家企業郵箱一天之內就遭受到上千萬封勒索釣魚郵件攻擊。然而,從2016年下半年開始,隨著Crysis/XTBL的出現,通過RDP弱口令暴力破解服務器密碼人工投毒(常伴隨共享文件夾感染)逐漸成為主角。到了2018年,幾個影響力最大的勒索病毒幾乎全都采用這種方式進行傳播,這其中以GlobeImposter、Crysis為代表,感染用戶數量最多,破壞性最強。360安全監測與響應中心在2018年8月16日發布的《GandCrab病毒勒索攻擊安全預警通告》中涉及到的GandCrab病毒也是采用RDP弱口令暴力破解服務器密碼人工投毒的方式進行勒索。
根據本次事件特征分析,除已受到攻擊的單位外,其它同類型單位也面臨風險,需積極應對。
黑客突破邊界防御后,會以工具輔助手工的方式,對內網其他機器進行滲透。通過對多個現場的調查,黑客所使用的工具包括但不限于:
- 全功能遠控木馬
- 自動化添加管理員的腳本
- 內網共享掃描工具
- Windows 密碼抓取工具
- 網絡嗅探、多協議暴破工具
- 瀏覽器密碼查看工具
攻擊者在打開內網突破口后,會在內網對其他主機進行口令暴破。在內網橫向移動至一臺新的主機后,會嘗試進行包括但不限于以下操作:
- 手動或用工具卸載主機上安裝的防護軟件
- 下載或上傳黑客工具包
- 手動啟用遠程控制以及勒索病毒
風險等級
360安全監測與響應中心風險評級為:高危
預警等級:藍色預警(一般網絡安全預警)
容易受攻擊組織影響的機構
本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務密碼暴力破解,在進入內網后會進行多種方法獲取登陸憑據并在內網橫向傳播。
綜上,符合以下特征的機構將更容易遭到攻擊者的侵害:
- 存在弱口令且Windows遠程桌面服務(3389端口)暴露在互聯網上的機構。
- 內網Windows終端、服務器使用相同或者少數幾組口令。
- Windows服務器、終端未部署或未及時更新安全加固和殺毒軟件
處置建議
緊急解決方案
針對本次攻擊事件,我們提供緊急解決方案如下:
一、緊急處置方案
1、對于已中招服務器
下線隔離。
2、對于未中招服務器
1)在網絡邊界防火墻上全局關閉3389端口或3389端口只對特定IP開放。
2)開啟Windows防火墻,盡量關閉3389、445、139、135等不用的高危端口。
3)每臺服務器設置唯一口令,且復雜度要求采用大小寫字母、數字、特殊符號混合的組合結構,口令位數足夠長(15位、兩種組合以上)。
二、后續跟進方案
1)對于已下線隔離中招服務器,聯系專業技術服務機構進行日志及樣本分析。
服務器、終端防護
1. ?所有服務器、終端應強行實施復雜密碼策略,杜絕弱口令
2. ?杜絕使用通用密碼管理所有機器
3. ?安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫
4.??及時安裝漏洞補丁
5.??服務器開啟關鍵日志收集功能,為安全事件的追蹤溯源提供基礎
網絡防護與安全監測
1.???對內網安全域進行合理劃分。各個安全域之間限制嚴格的 ACL,限制橫向移動的范圍。
2.???重要業務系統及核心數據庫應當設置獨立的安全區域并做好區域邊界的安全防御,嚴格限制重要區域的訪問權限并關閉telnet、snmp等不必要、不安全的服務。
3.?? 在網絡內架設 IDS/IPS 設備,及時發現、阻斷內網的橫向移動行為。
4.?? 在網絡內架設全流量記錄設備,以及發現內網的橫向移動行為,并為追蹤溯源提供良好的基礎。
應用系統防護及數據備份
1.?? 應用系統層面,需要對應用系統進行安全滲透測試與加固,保障應用系統自身安全可控。
2.???對業務系統及數據進行及時備份,并驗證備份系統及備份數據的可用性。
3.???建立安全災備預案,一但核心系統遭受攻擊,需要確保備份業務系統可以立即啟用;同時,需要做好備份系統與主系統的安全隔離工作,辟免主系統和備份系統同時被攻擊,影響業務連續性。
安全防護本身是一個動態的對抗過程,在以上安全加固措施的基礎上,日常工作中,還需要加強系統使用過程的管理與網絡安全狀態的實時監測:
電腦中不使用不明來歷的U盤、移動硬盤等存儲設備;不接入公共網絡,同時機構的內部網絡中不運行不明來歷的設備接入。
要常態化的開展安全檢查和評估,及時發現安全薄弱環節,及時修補安全漏洞和安全管理機制上的不足,時刻保持系統的安全維持在一個相對較高的水平;(類似定期體檢)
及時關注并跟進網絡安全的技術進步,有條件的單位,可以采取新型的基于大數據的流量的監測設備并配合專業的分析服務,以便做到蠕蟲病毒的第一時間發現、第一時間處置、第一時間溯源根除。
技術分析
勒索樣本分析
1.樣本初始化
勒索樣本在運行后首先判斷%LOCALAPPDATA%或%APPDATA%環境變量是否存在,如果存在則將自身復制到%LOCALAPPDATA%或%APPDATA%目錄,之后將復制后的路徑寫入:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck 從而實現開機啟動。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
生成RSA私鑰并使用硬編碼公鑰加密,之后將加密后的密文轉換為ASCII碼,最后將密文寫入%ALLUSERSPROFILE% 變量路徑中。
2.加密流程
初始化完成后開始進入加密流程,病毒會遍歷全盤,在排除樣本中不加密文件夾列表后,使用隨機生成的公鑰加密其他所有文件,之后將之前生成的機器唯一標識寫入文件末尾。
排除的路徑如下:
Windows
Microsoft
Microsoft Help
Windows App Certification Kit
Windows Defender
ESET
COMODO
Windows NT
Windows Kits
Windows Mail
Windows Media Player
Windows Multimedia PlatformWindows Phone Kits
Windows Phone Silverlight Kits
Windows Photo Viewer
Windows Portable Devices
Windows Sidebar
Windows PowerShell
NVIDIA Corporation
Microsoft .NET
Internet Explorer
Kaspersky Lab
McAfe
Avira
spytech software
sysconfig
Avast
DrWeb
Symantec
Symantec_Client_Security
system volume information
AVG
Microsoft Shared
Common Files
Outlook Express
Movie Maker
Chrome
Mozilla Firefox
Opera
YandexBrowser
ntldr
Wsus
ProgramData
時間線
[1]?2018年2月26日-360安全監測與響應中心發布預警通告
[2]?2018年2月27日-360安全監測與響應中心第二次發布預警通告
[3]?2018年8月23日-360安全監測與響應中心第三次發布預警通告