勒索病毒攻防演练

attack.bat感化是将下一步必要进行的操作写入到result.bat中,然后调用result.bat

近两年,打单病毒肆虐举世,影响波及浩繁行业和机构,已经成为最受关注的收集安然问题之一此中的打单病毒家族GlobeImposter在我国广泛传播,其变种也多种多样,为了深入的防御该种打单病毒的侵入,笃信服安然攻防团队对打单病毒家族GlobeImposter的传播要领进行了钻研,并且进行了深度的还原,旨在能够赞助用户做到更好的防御

病毒阐发

GlobeImposter从首次呈现到现在,基础便是3个大年夜版本,更多是其2.0版本的变种,传播要领也基础没有大年夜的变更我们根据8件有代表性的真实进击事故中采集到的样本进行阐发对此,汇总了GlobeImposter打单病毒的进击特征:

从阐发结果可以看出,GlobeImposter打单病毒的主要传播道路:

钓鱼邮件:经由过程发送附带恶意附件或恶意链接的钓鱼邮件,打开文件或链接之后,下载或运行打单病毒

RDP爆破:经由过程RDP弱口令爆破或获取本地RDP的密码记录存储获取系统的登录凭据,然后登录系统一样平常用来打开进击口

JaveScript脚本:案例中发明GlobeImposter经由过程javascript肴杂脚本的要领进行了传播,该传播要领比传统的更为隐蔽以及更难检测

SMB共享传播:基于Windows收集共享协议进行病毒传播

横向渗透:经由过程一些破绽扫描器进行渗透进击,该措施门槛与资源都对照低

进击复现

为了清楚的掌握打单病毒的进击历程及迫害,我们对一个真实的用户案例进行复现,搭建了如下的拓扑图:

全部内网中有三个子网:运维区、DMZ区和内网办公区各区域之间进行了收集隔离(本拓扑中采纳下一代防火墙的利用节制策略实现),各区域的造访权限如下:

1) 运维区容许造访内网办公区和DMZ区域,不容许造访外网

2) 内网办公区容许造访运维区的ftp办事器和samba办事器,容许造访DMZ区的Web办事器和邮件办事器;不容许造访外网

3) DMZ区域对外营业宣布web办事器、邮箱办事器,同时对外开放了web办事器的远程桌面端口;DMZ区不容许主动造访其他区域

PS.此拓扑滥觞于真实的客户情况,为了监测并记录打单病毒的进击链,我们预先支配了笃信服下一代防火墙、笃信服要挟探针,仅开启检测并记录日志,不拦截进击数据

进击历程复现

1、扫描到公网开放的远程桌面端口后,对Web办事器进行口令暴破,获取口令后,经由过程downloader下载病毒样本及进击对象到办事器(黑客入侵的第一步每每都是经由过程企业对外宣布的办事器入手,本情况是经由过程RDP爆破,也可以经由过程web破绽入侵,如使用Struts2破绽、SQL注入等)

Tips.本场景中,进击者可以从入侵web办事器开始就进行内部横向传播,但因为加密web办事器文件后会很快被发明,是以采取了后续钓鱼邮件的入侵要领

2、投放完成病毒样本后,冒充成求职者向该单位的HR邮箱发送求职邮件,将简历信息及证书照片等压缩后放到附件之中,蛊惑HR打开附件

Tips.邮箱仿冒的进击要领有许多种,常见的有:

1) 发件人捏造:是一种由来已久的进击手段使用的主如果SMTP等协议的一些设计缺陷,或针对办事器的一些破绽,捏造发件人的邮箱信息

2) 仿冒发件人又名:使用邮件账号的又名字段属性,应用公用邮箱(比如Gmail)仿冒他人账号,此类仿冒邮件占比最高,同时由于实际发件人地址真实存在,可以进行交互式欺骗

Example

From: Steve Jobs (而不是sjobs@sangfor.com)

3) 相似域名仿冒:抢注相似域名,比如sangfor(不是o,是数字0),然后就可以按照套路操作了毛病是注册域名、设置设置设备摆设摆设邮件办事等太麻烦,而且轻易留下作案痕迹;而且大年夜公司都有brand监控办事,相似域名已经抢注或在监控范围内了(域名注册商有这项办事)

Example

From: Steve Jobs sjobs@sangf0r.com

4) 冒仿身份:假冒上司身份,进击者使用邮箱,冒充成上司的身份,对员工提出看似正常并且合理的要求,接管到邮件的人,没有进行仔细切实着实认,就很轻易受骗假冒同事身份,进击者假冒是某个不愿走漏姓名的同事,发送剖明邮件,或者是一些较为不明确的信息例如,“猜猜我是谁”,“有器械想给你看“,“点开你就知道是什么”,使用了人的好奇心等等其二心里达到进击者的目的

[1] [2] [3]下一页

假冒其他等等许多合理的身份

这里,我们应用的是冒仿身份的要领

3、HR收到邮件后,打开邮件内的附件,会发明里面的一些简历及证书文件被自动解压到当前目录下,正当HR称颂求职者细心殷勤的时刻,压缩包内的js脚本已经被启动,这些脚本自动到Web办事器下载之前植入的病毒样本及进击对象,并保存在C:\Program Files\evil文件夹下面,全手下载成功之后,js已经开始悄然默默的运行它们

下载的病毒样本等恶意文件:

4、在HR涉猎所谓的求职信息时,右下角义务栏内的法度榜样被逐一关闭,直到弹出报错的弹窗界面,HR才发明有什么纰谬,这时刻主机上的文件已经被打单病毒完成了加密,无法打开于此同时,打单病毒在赓续扫描内网其他主机并进行横向扩散

HR主机被打单病毒感染:

5、一脸懵逼的HR赶快告急网管小哥,正当网管小哥想在HR眼前秀一手时,发明自己的电脑忽然弹到了登录窗口,再次登录后发明,电脑上的文件已经被加密,无法打开了,没等他反映过来,一大年夜波电话、消息袭来…

网管小哥的电脑中招后自动弹出到登录界面:

再次登录后发明电脑文件已经被加密,无法打开:

至此,打单病毒已经成功扩散到全部单位内网

进击具体阐发

1、 该场景下,因为内网均无法直接上网,是以进击者预先将病毒脚本上传到DMZ区域的web办事器上,在内网搭建了一个病毒办事器

2、 在正式进击开始前,先构建了一个js下载器,用于下载web办事器上放置的病毒样本等恶意软件为了暗藏进击者真实的意图,在真实情况中进击者在应用下载器的时刻每每应用各类肴杂或加密的措施去使自己的脚本看起来很繁杂本次为了重现进击编写的下载器就只包孕了最核心的两个功能,下载与运行,会分手运行打单和传播法度榜样

3、 Js下载器构建完毕后,我们还必要对内网主机进行扫描,发明可以进击的目标,是以必要一个RDP端口扫描对象,自动扫描内网开启了RDP办事的所有工具,并作为进击目标:

4、 扫描到进击目标后,采纳有名对象hydra实现RDP爆破

5、 爆破成功的主机,必要将病毒传播上去,这里应用attack.bat脚本,对爆破出来的结果进行读取,并完成病毒传播详细步骤如下:

1) 从文件里读取上一步爆破出的IP、用户名、密码

2) 用net use建立IPC连接

3) 在远程机械上建立目录,并将恶意的js脚本写入到响应目录

4) 用wmic远程履行,用wscript履行js脚本

5) 将上述敕令写入到result.bat中,然后运行result.bat

6、 仅仅是上述历程的话,还不够以实现完全自动化的内网横向传播,是以还必要借助蠕虫要领实现自动化运行进击对象,实现内网的自动传播,这里构建了一个worm.exe法度榜样,主要实现发明目标、进击目标、传播病毒三个功能

着末运行attack.bat传播病毒

此中对hydra的调用也实现了自动化操作,将弱口令存在1.txt文件中,应用“hydra –C 1.txt RDP”指令履行RDP爆破

上一页[1] [2] [3]下一页

全部流程看起来很繁杂,但在详细的进击时,进击者只必要探求到冲破口,如本案例中的3389爆破,或者是一个可使用的破绽,接下来的工作都可以自动化完成了

总结:

经由过程这次的攻防练习训练事故我们可以看到,假如内网主机一旦遭受入侵,要挟到的是将是全部内网的安然并且,在已发明的GlobeImposter打单病毒中,病毒入侵要领也十分机动的,邮件,RDP爆破,SMB共享传播,进击者的横向渗透等等为了应对多变的GlobeImposter打单病毒,安然功防团队会持续跟进该病毒的最新动态,及时钻研其进击链以及进击道理,做到更为立体的防御

安然意识小建议:

· 不要点击滥觞不明的邮件以及附件

· 及时给电脑打补丁,修复破绽

· 对紧张的数据文件按期进行非本地备份

· 安装专业的终端/办事器安然防护软件

· Globelmposter打单软件之前的变种会使用RDP(远程桌面协议),是以建议用户关闭响应的RDP(远程桌面协议)

· 只管即便关闭不需要的文件共享权限以及关闭不需要的端口,如:445,135,139,3389等

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包