警惕GlobeImposter勒索軟體，安天智甲有效防護

01

事件回顧

安天安全研究與應急處理中心（Antiy CERT）的工程師在近日接到用戶反饋，其伺服器被勒索軟體加密。經過分析判定認為該加密伺服器的勒索軟體是GlobeImposter家族的新變種。

GlobeImposter家族在2017年5月份被首次發現，目前發現的樣本沒有內網傳播功能，一般使用包含混淆的JaveScript腳本的垃圾郵件進行傳播，加密用戶文件並勒索比特幣。此次發現的樣本為GlobeImposter家族的最新變種，其加密文件使用.CHAK擴展名，取消了勒索付款的比特幣錢包地址及回傳信息的「洋蔥」網路地址，而是通過郵件來告知受害者付款方式，使其獲利更加容易方便。由於GlobeImposter家族使用了RSA2048演算法加密，解密極其困難，目前該勒索軟體暫無解密工具，如有人稱其有解密工具，很有可能是向攻擊者交付贖金以獲取解密工具的行為，安天不建議也不支持採取此種方式。

經驗證，安天智甲終端防禦系統（以下簡稱安天智甲）可對該勒索軟體進行有效防禦及查殺。

02

事件樣本分析

2.1 樣本標籤

由於樣本進入受害者計算機後進行了自刪除操作，初始樣本已經無法得到。我們根據該樣本的行為特徵在互聯網中關聯到了同一家族的其他樣本，下面是該樣本的詳細信息：

表2-1 樣本標籤

2.2 樣本分析

2.2.1 解密自身代碼

惡意代碼樣本為了防止被輕易地分析，加密了大多數字元串和一部分API，運行後會在內存中動態解密，解密後可以看到樣本在加密時排除的文件夾與後綴名，如圖所示：

圖2-1 樣本解密後的排除文件夾與後綴名

2.2.2 實現持久化

樣本複製自身到%appdata%下，Windows XP系統的具體路徑是「C:Documents and SettingsAdministratorApplication Data」，Windows 7系統的具體路徑是「C:Users用戶名AppdataRoaming」，如圖所示：

圖2-2 樣本複製自身到本地

接下來修改註冊表，在RunOnce下增加CertificatesCheck鍵，鍵值為惡意代碼在%appdata%下的路徑，使其在開機時自啟動，如圖所示：

圖2-3 樣本修改註冊表以自啟動

2.2.3 加密前的準備工作

樣本在加密文件前會結束包含硬編碼關鍵字的進程，包括「sql」，「outlook」，「ssms」，「postgre」，「1c」，「excel」和「word」。這是為了解除對文件的佔用，為下一步加密文件做準備。

圖2-4 樣本結束包含關鍵字的進程

2.2.4 使用RSA演算法加密文件

樣本使用RSA2048與RSA1024演算法進行加密，首先調用CryptGenRandom隨機生成一組128位的密鑰對，如圖所示：

圖2-5 樣本隨機生成RSA密鑰

然後使用樣本中硬編碼的256位公鑰加密剛剛隨機生成的私鑰，最後生成受害者的個人ID，如圖所示：

圖2-6 樣本利用硬編碼密鑰生成個人ID

最後利用隨機生成的公鑰加密排除文件夾列表以外的所有文件並將個人ID寫到加密文件的末尾，如圖所示：

圖2-7 樣本加密磁碟文件並將個人ID添加到文件末尾

此次事件中受害者被加密的文件如圖2-8所示：

圖2-8 受害者被加密的文件

勒索軟體在加密文件的同時創建了勒索信息文件how_to_back_files.html，要求受害者將一個加密的圖片或文檔發送到指定的郵箱，由於加密的文件末尾包含個人ID，攻擊者可以通過個人ID及其手中的RSA私鑰解出用以解密文件的私鑰，這樣就可以識別不同的受害者。攻擊者會給出解密後的文件及解密所有文件的價格，在受害者付款後，攻擊者會發送解密程序。下圖為勒索信息文件內容：

圖2-9 勒索信息文件

2.2.5 GlobeImposter家族使用的郵箱

根據關聯信息發現在其他感染案例中，此勒索軟體家族也會使用如下加密拓展名：

.GOTHAM；.YAYA；.GRANNY；.SKUNK；.TRUE；.SEXY；.MAKGR；.BIG1；*.LIN；.BIIT；.THIRD；.DREAM；.freeman；.BUNNY。

並且使用下列郵箱地址作為與感染者的聯繫郵箱：

表2-2 GlobeImposter家族使用的郵箱

03

防護建議

3.1 預防建議

1、及時備份重要文件，且文件備份應與主機隔離；

2、及時安裝更新補丁，避免一些勒索軟體利用漏洞感染計算機；

3、盡量避免打開社交媒體分享等來源不明的鏈接，給信任網站添加書籤並通過書籤訪問；

4、對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；

5、定期用反病毒軟體掃描系統，如殺毒軟體有啟發式掃描功能，可使用該功能掃描計算機。

6、部分GlobeImposter勒索軟體之前的變種利用RDP（遠程桌面協議）暴力破解遠端機器的密碼實現傳播，因此建議關閉RDP。

3.2 安天智甲有效防護

針對本次發現的GlobeImposter勒索軟體變種，安天智甲可進行有效防護與查殺：

圖3-1 安天智甲告警界面

安天智甲可對GlobeImposter勒索軟體進行攔截，系統重啟後，文件沒有被加密。

圖3-2 安天智甲文檔保護界面

04

安天智甲簡介

圖4-1 安天智甲產品

圖4-2 安天智甲管理中心

面對勒索軟體的盛行，為能更好的保障用戶數據資產安全，安天智甲嵌入了多維度的防勒索能力，通過勒索行為感知、傳輸文件深度檢測與管控、文檔訪問控制等方式，對勒索軟體進行多維度的安全防護。

安天智甲是一款面向政府、軍工、能源、金融、交通、電信等各行業用戶的企業級防護產品，產品集成了病毒檢測查殺、系統加固、主動防禦、介質管控、文檔保護、行為畫像等功能，並能有效與管理中心和安天態勢感知產品互動，協助客戶建立更全面的資產防護體系和風險認知能力，使態勢感知能夠有效落地。

1、安天智甲：更全面的場景應用——多場景支持、滿足差異化需求

安天智甲不僅是一款終端防護產品，還能夠以資產保障和威脅認知為視角，以形成有效的資產深度普查和端點畫像為能力輸出，並將數據同步至安天態勢感知平台中，讓用戶對整個端點的資產一覽無餘。

2、安天智甲：更廣闊的適配性——全面兼容國產化系統

3、安天智甲：更強大的功能——不僅僅是反病毒

4、安天智甲：更精準的威脅感知——3D可視化拓撲、感知全局態勢

05

小結

在過去的一年中，勒索軟體可謂是一波未平，一波又起。從利用NSA網路軍火的「魔窟」（WannaCry）到破壞系統的「必加」（Petya），勒索軟體的種類如潮水般增長，而其功能也在不斷地變化。GlobeImposter家族並不像「魔窟」（WannaCry）等利用漏洞滲透內網，而是通過垃圾郵件中的JavaScript腳本傳播，這與前幾年火熱的勒索軟體「Locky」如出一轍。從目前存在的一些變種上來看，GlobeImposter作者的目的是更隱蔽、方便、快速地獲取利益，取消「洋蔥」網路地址、取消比特幣錢包地址、使用郵件告知受害者付款方式、不使用內網傳播功能，這些都可以猜測出攻擊者的意圖。從代碼的角度上來看，GlobeImposter家族使用了大量的動態解密來對抗分析，這是它與其他勒索軟體最大的不同，同時其不斷地更換加密文件後綴及郵箱地址，更能說明隱蔽地進行勒索獲利是攻擊者的主要目的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！