GlobeImposter勒索病毒攻击事件分析

360企业安然监测到,2018年8月21日起多地发生GlobeImposter打单病毒事故,颠末定性阐发,进击者在冲破界限防御后使用黑客对象进行内网渗透并选择高代价目标办事器人工投放打单病毒。此进击团伙主要进击开启远程桌面办事的办事器,使用密码抓取对象获取治理员密码后对内网办事器提议扫描并人工投放打单病毒,导致文件被加密。病毒感染后的主要特性包括windows 办事器文件被加密、且加密文件的文件名后缀为*.RESERVE。根据本次事故特性阐发,除已受到进击的单位外,其它同类型单位也面临风险,需积极应对。

文档信息

文档名称

GlobeImposter打单进击事故安然预警告示第三次更新

关键字

打单病毒GlobeImposter

宣布日期

2018年2月26日

更新日期

2018年8月23日

阐发团队

360安然监测与相应中间,360要挟情报中间,360安服团队、360天擎

事故信息

360企业安然监测到2018年8月21日起,多地发生GlobeImposter打单病毒事故,颠末定性阐发,进击者在冲破界限防御后使用黑客对象进行内网渗透并选择高代价目标办事器人工投放打单病毒。此进击团伙主要进击开启远程桌面办事的办事器,使用密码抓取对象获取治理员密码后对内网办事器提议扫描并人工投放打单病毒,导致文件被加密。病毒感染后的主要特性包括windows 办事器文件被加密、且加密文件的文件名后缀为*.RESERVE。

360安然监测与相应中间、 360 要挟情报中间、360安服团队、360天擎对此事故进行了慎密跟踪与阐发,觉得本次事故不合于通俗的打单病毒事故。

打单病毒之前的传播手段主要以钓鱼邮件、网页挂马、破绽使用为主,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上切切封打单钓鱼邮件进击。然而,从2016年下半年开始,跟着Crysis/XTBL的呈现,经由过程RDP弱口令暴力破解办事器密码人工投毒(常伴随共享文件夹感染)徐徐成为主角。到了2018年,几个影响力最大年夜的打单病毒险些全都采纳这种要领进行传播,这此中以GlobeImposter、Crysis为代表,感染用户数量最多,破坏性最强。360安然监测与相应中间在2018年8月16日宣布的《GandCrab病毒打单进击安然预警告示》中涉及到的GandCrab病毒也是采纳RDP弱口令暴力破解办事器密码人工投毒的要领进行打单。

根据本次事故特性阐发,除已受到进击的单位外,其它同类型单位也面临风险,需积极应对。

黑客冲破界限防御后,会以对象帮助手工的要领,对内网其他机械进行渗透。经由过程对多个现场的查询造访,黑客所应用的对象包括但不限于:

全功能远控木马

自动化添加治理员的脚本

内网共享扫描对象

Windows 密码抓取对象

收集嗅探、多协议暴破对象

浏览器密码查看对象

进击者在打开内网冲破口后,会在内网对其他主机进行口令暴破。在内网横向移动至一台新的主机后,会考试测验进行包括但不限于以下操作:

手动或用对象卸载主机上安装的防护软件

下载或上传黑客对象包

手动启用远程节制以及打单病毒

风险等级

360安然监测与相应中间风险评级为:高危

预警等级:蓝色预警(一样平常收集安然预警)

轻易受进击组织影响的机构

本次进击者主要的冲破界限手段可能为Windows远程桌面办事密码暴力破解,在进入内网后会进行多种措施获取登岸凭证并在内网横向传播。

综上,相符以下特性的机构将更轻易遭到进击者的损害:

存在弱口令且Windows远程桌面办事(3389端口)裸露在互联网上的机构。

内网Windows终端、办事器应用相同或者少数几组口令。

Windows办事器、终端未支配或未及时更新安然加固和杀毒软件

处置建议

紧急办理规划

针对本次进击事故,我们供给紧急办理规划如下:

一、紧急处置规划

1、对付已中招办事器

下线隔离。

2、对付未中招办事器

1)在收集界限防火墙上全局关闭3389端口或3389端口只对特定IP开放。

2)开启Windows防火墙,只管即便关闭3389、445、139、135等不用的高危端口。

3)每台办事器设置独一口令,且繁杂度要求采纳大年夜小写字母、数字、特殊符号混杂的组合布局,口令位数足够长(15位、两种组合以上)。

二、后续跟进规划

1)对付已下线隔离中招办事器,联系专业技巧办事机构进行日志及样本分析。

办事器、终端防护

1.所有办事器、终端应强行实施繁杂密码策略,杜绝弱口令

2.杜绝应用通用密码治理所有机械

3.安装杀毒软件、终端安然治理软件并及时更新病毒库

4.及时安装破绽补丁

5.办事器开启关键日志网络功能,为安然事故的追踪溯源供给根基

收集防护与安然监测

1.对内网安然域进行合理划分。各个安然域之间限定严格的 ACL,限定横向移动的范围。

2.紧张营业系统及核心数据库该当设置自力的安然区域并做好区域界限的安然防御,严格限定紧张区域的造访权限并关闭telnet、snmp等不需要、不安然的办事。

3.在收集内架设 IDS/IPS 设备,及时发明、阻断内网的横向移动行径。

4.在收集内架设全流量记录设备,以及发明内网的横向移动行径,并为追踪溯源供给优越的根基。

利用系统防护及数据备份

1.利用系统层面,必要对利用系统进行安然渗透测试与加固,保障利用系统自身安然可控。

2.对营业系统及数据进行及时备份,并验证备份系统及备份数据的可用性。

3.建立安然灾备预案,一但核心系统遭受进击,必要确保备份营业系统可以急速启用;同时,必要做好备份系统与主系统的安然隔离事情,辟免主系统和备份系统同时被进击,影响营业继续性。

安然防护本身是一个动态的抗衡历程,在以上安然加固步伐的根基上,日常事情中,还必要加强系统应用历程的治理与收集安然状态的实时监测:

电脑中不应用不明来历的U盘、移动硬盘等存储设备;不接入公共收集,同机会构的内部收集中不运行不明来历的设备接入。

要常态化的开展安然反省和评估,及时发明安然懦弱环节,及时修补安然破绽和安然治理机制上的不够,时候维持系统的安然保持在一个相对较高的水平;(类似按期体检)

[1] [2]下一页

及时关注并跟进收集安然的技巧进步,有前提的单位,可以采取新型的基于大年夜数据的流量的监测设备并共同专业的阐发办事,以便做到蠕虫病毒的第一光阴发明、第一光阴处置、第一光阴溯源铲除。

技巧阐发

打单样本分析

1.样本初始化

打单样本在运行后首先判断%LOCALAPPDATA%或%APPDATA%情况变量是否存在,假如存在则将自身复制到%LOCALAPPDATA%或%APPDATA%目录,之后将复制后的路径写入:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck 从而实现开机启动。

天生RSA私钥并应用硬编码公钥加密,之后将加密后的密文转换为ASCII码,着末将密文写入%ALLUSERSPROFILE% 变量路径中。

2.加密流程

初始化完成后开始进入加密流程,病毒会遍历通盘,在扫除样本中不加密文件夹列表后,应用随机天生的公钥加密其他所有文件,之后将之前天生的机械独一标识写入文件末端。

扫除的路径如下:

Windows

Microsoft

Microsoft Help

Windows App Certification Kit

Windows Defender

ESET

COMODO

Windows NT

Windows Kits

Windows Mail

Windows Media Player

Windows Multimedia PlatformWindows Phone Kits

Windows Phone Silverlight Kits

Windows Photo Viewer

Windows Portable Devices

Windows Sidebar

Windows PowerShell

NVIDIA Corporation

Microsoft .NET

Internet Explorer

Kaspersky Lab

McAfe

Avira

spytech software

sysconfig

Avast

DrWeb

Symantec

Symantec_Client_Security

system volume information

AVG

Microsoft Shared

Common Files

Outlook Express

Movie Maker

Chrome

Mozilla Firefox

Opera

YandexBrowser

ntldr

Wsus

ProgramData

光阴线

[1] 2018年2月26日-360安然监测与相应中间宣布预警告示

[2] 2018年2月27日-360安然监测与相应中间第二次宣布预警告示

[3] 2018年8月23日-360安然监测与相应中间第三次宣布预警告示

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包