影響惡劣的GlobeImposter勒索攻擊如何防？

溫馨提示：GlobeImposter勒索攻擊第一手分析報告，內容詳盡齊全，篇幅較長，推薦大家收藏細細品讀!

近日，國內某機構遭受 GlobeImposter勒索病毒攻擊，導致業務相關文件被加密，對業務的連續性造成嚴重影響。360安全監測與響應中心、 360 威脅情報中心、360安服團隊對此事件進行了緊密跟蹤與分析，認為本次事件不同於普通的勒索病毒事件。

普通的勒索病毒事件一般通過郵件、水坑攻擊、U盤擺渡等方式進入用戶系統，由惡意代碼自身的橫向移動功能（比如對MS17-010漏洞的利用）在內網繼續進行感染攻擊。通過對本次勒索攻擊事件的分析，我們發現本次攻擊相對普通的勒索事件的首要區別在於攻擊者在突破企業防護邊界後積極進行內網滲透，繞過安全防護，並釋放勒索惡意代碼，具有極強的破壞性及針對性。

本次事件中，黑客從外網打開突破口後，會以工具輔助手工的方式，對內網其他機器進行滲透。黑客使用的工具主要來自一個壓縮包。所使用的工具包括但不限於：

1、全功能遠控木馬

2、自動化添加管理員的腳本

3、內網共享掃描工具

4、Windows 密碼抓取工具

5、網路嗅探、多協議暴破工具

6、瀏覽器密碼查看工具

攻擊者在打開內網突破口後，會在內網對其他主機進行口令暴破。在內網橫向移動至一台新的主機後，會嘗試進行包括但不限於以下操作：

1、手動或用工具卸載主機上安裝的防護軟體

2、下載或上傳黑客工具包

3、手動啟用遠程控制以及勒索病毒

風險等級

360安全監測與響應中心風險評級為：高危

預警等級：藍色預警（一般網路安全預警）

影響範圍

容易受攻擊組織影響的機構

本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務密碼暴力破解，在進入內網後會進行多種方法獲取登陸憑據並在內網橫向傳播。綜上，符合以下特徵的機構將更容易遭到攻擊者的侵害：

1、存在弱口令且Windows遠程桌面服務(3389埠)暴露在互聯網上的機構。

2、內網Windows終端、伺服器使用相同或者少數幾組口令。

3、Windows伺服器、終端未部署或未及時更新殺毒軟體。

處置建議

1、伺服器、終端防護

1.1、所有伺服器、終端應強行實施複雜密碼策略，杜絕弱口令。

1.2、杜絕使用通用密碼管理所有機器。

1.3、安裝殺毒軟體、終端安全管理軟體並及時更新病毒庫。

1.4、及時安裝漏洞補丁。

1.5、伺服器開啟關鍵日誌收集功能，為安全事件的追蹤溯源提供基礎。

2、網路防護與安全監測

2.1、對內網安全域進行合理劃分。各個安全域之間限制嚴格的 ACL，限制橫向移動的範圍。

2.2、重要業務系統及核心資料庫應當設置獨立的安全區域並做好區域邊界的安全防禦，嚴格限制重要區域的訪問許可權並關閉telnet、snmp等不必要、不安全的服務。

2.3、在網路內架設 IDS/IPS 設備，及時發現、阻斷內網的橫向移動行為。

2.4、在網路內架設全流量記錄設備，以及發現內網的橫向移動行為，並為追蹤溯源提供良好的基礎。

2.5、通過ACL禁止IP:54.37.65.160的出站方向訪問。

3、應用系統防護及數據備份

3.1、應用系統層面，需要對應用系統進行安全滲透測試與加固，保障應用系統自身安全可控。

3.2、對業務系統及數據進行及時備份，並驗證備份系統及備份數據的可用性。

3.3、建立安全災備預案，一但核心系統遭受攻擊，需要確保備份業務系統可以立即啟用；同時，需要做好備份系統與主系統的安全隔離工作，辟免主系統和備份系統同時被攻擊，影響業務連續性。

安全防護本身是一個動態的對抗過程，在以上安全加固措施的基礎上，日常工作中，還需要加強系統使用過程的管理與網路安全狀態的實時監測：

電腦中不使用不明來歷的U盤、移動硬碟等存儲設備；不接入公共網路，同時機構的內部網路中不運行不明來歷的設備接入。

要常態化的開展安全檢查和評估，及時發現安全薄弱環節，及時修補安全漏洞和安全管理機制上的不足，時刻保持系統的安全維持在一個相對較高的水平；（類似定期體檢）

及時關注並跟進網路安全的技術進步，有條件的單位，可以採取新型的基於大數據的流量的監測設備並配合專業的分析服務，以便做到蠕蟲病毒的第一時間發現、第一時間處置、第一時間溯源根除。

技術分析

1、勒索樣本分析

1.1 樣本初始化

勒索樣本在運行後首先判斷%LOCALAPPDATA%或%APPDATA%環境變數是否存在，如果存在則將自身複製到%LOCALAPPDATA%或%APPDATA%目錄，之後將複製後的路徑寫入：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck 從而實現開機啟動

生成RSA私鑰並使用硬編碼公鑰加密，之後將加密後的密文轉換為ASCII碼，最後將密文寫入%ALLUSERSPROFILE% 變數路徑中

1.2 加密流程

初始化完成後開始進入加密流程，病毒會遍歷全盤，在排除樣本中不加密文件夾列表後，使用隨機生成的公鑰加密其他所有文件，之後將之前生成的機器唯一標識寫入文件末尾

排除的路徑如下：:

·Windows

·Microsoft

·Microsoft Help

·Windows App Certification Kit

·Windows Defender

·ESET

·COMODO

·Windows NT

·Windows Kits

·Windows Mail

·Windows Media Player

·Windows Multimedia PlatformWindows Phone Kits

·Windows Phone Silverlight Kits

·Windows Photo Viewer

·Windows Portable Devices

·Windows Sidebar

·Windows PowerShell

·NVIDIA Corporation

·Microsoft .NET

·Internet Explorer

·Kaspersky Lab

·McAfe

·Avira

·spytech software

·sysconfig

·Avast

·DrWeb

·Symantec

·Symantec_Client_Security

·system volume information

·AVG

·Microsoft Shared

·Common Files

·Outlook Express

·Movie Maker

·Chrome

·Mozilla Firefox

·Opera

·YandexBrowser

·ntldr

·Wsus

·ProgramData

2、遠控樣本分析

樣本為delphi編寫的遠控木馬的Server端，包含了常見的遠程控制功能及遠程操作功能，中招機器可被完全控制。

2.1 環境檢測

程序啟動首先進行一系列環境檢測，檢測失敗則退出進程。檢測包括調試檢測、調試模塊檢測、API hook檢測、虛擬機沙箱檢測等。如下所示：

1) 調試模塊檢測

2) 本地和遠程調試調試檢測

3) 檢測虛擬機，通過查詢「0」鍵，檢測」VIRTUAL」欄位，檢測是否在VM虛擬機或者VBOX

4) 檢測Cuckoo 沙箱

5) 檢測WINE

6) 檢測CWSandbox

7) 檢測JoeBox 和 Anubis

8) 檢測ShellExecuteExW是否被hook

如上的一系列檢測如不通過，則退出程序

2.2 木馬初始化

解密配置信息，key：PuBAanR08QJw3AjM

Copy自身至如下之一的目錄，文件名aspbcn.exe

並寫入啟動項

完成後重新啟動寫入啟動項的進程，並退出自身。

下載並解壓sqlite模塊

嘗試提升許可權

建立連接，IP 54.37.65.160 埠：0xCFD8，發送一些基本的系統基本信息，磁碟信息，PC名，賬戶信息等等至遠程。

2.3 後門指令部分

進入後門命令循環，功能很全面的木馬，操作包括文件相關，進程相關，服務相關，註冊表相關，系統控制，屏幕截圖，防火牆，DDOS攻擊等。列舉部分如下：

1) 一些基本指令，遠控常見的如文件相關，進程相關，服務相關，註冊表相關

2) 通過windows API模擬滑鼠操作，控制系統

3) 獲取瀏覽器保存的賬戶信息

4) Udp Flood Attack

5) TCP SYN Attack

6) 埠轉發功能模塊，通過埠轉發可以對內網的其他不能連外網的機器進行控制

產品解決方案

1、檢測方案

1.1 360天眼產品解決方案

360文件威脅鑒定器（沙箱）在默認情況下可以檢測該勒索攻擊事件中的遠控木馬和勒索軟體，無需升級。請關注沙箱告警中是否包含相關告警並進行排查。

規則升級方法：請在流量探針設備上依次選擇，「系統配置」-「設備升級」-「規則升級」，然後選擇「在線升級」或「離線升級」。

2、防護方案

2.1 360天擎終端安全管理系統解決方案

360天擎終端安全管理系統第一時間相應該病毒，客戶終端直接連接360公有雲查殺模式下，無需升級病毒庫即可查殺該病毒。

終端無法連接360公有雲查殺模式下，需要先升級控制台病毒庫版本，終端會自動同步控制台最新病毒庫。控制台病毒庫版本號顯示不小於：2018-02-23。

同時，針對純隔離網環境，可以通過隔離網工具升級控制台病毒庫版本。

2.2 360虛擬化安全產品解決方案

2.2.1 虛擬化安全檢測防護建議

1) 建議安裝部署虛擬化安全防護系統；

2) 結合虛擬化安全防護系統對全網主機進行安全評估（包括弱口令檢測、漏洞檢測、病毒掃描、系統配置脆弱性檢測等）；

2.2.2 虛擬化安全主機安全防護措施

2.2.3 虛擬化安全防護策略

第一部分：360虛擬化安全管理系統（輕代理）7.0配置方法

系統進行網路隔離(針對已感染設備)

配置方法：使用虛擬化安全（輕代理）防火牆功能對已感染設備進行隔離，使用該功能需有防火牆功能模塊授權。

1) 將已感染設備進行分組操作

2) 編輯防火牆策略模板

3) 在主機策略-分組策略中，針對已感染設備分組，啟用防火牆功能並下發防火牆策略模板

開啟病毒實時防護並清除病毒操作並(針對已感染設備)

配置方法：使用虛擬化安全（輕代理）病毒查殺功能清除已感染的勒索病毒，使用該功能需有防病毒功能模塊授權。

1) 在主機策略-分組策略頁面，針對受感染主機的分組，開啟實時防護功能，並自定義實時防護相關設置。

2) 對已感染設備下發全盤掃描任務

建議：若發現系統文件或可執行程序被感染，建議查殺病毒後根據業務情況安排變更重啟，重啟前請做好相關備份工作。

3) 在公網的環境下，雲查配置方式：

當客戶端可連接公網時，選擇「直接連接360網神雲安全鑒定中心」

當控制中心可以連接公網，客戶端不可連接公網時，可選擇「通過控制中心代理連接到360網神雲安全鑒定中心」

4) 隔離網環境下建議開啟增強版殺毒引擎（測試授權需申請增強版防病毒模塊）

開啟防爆力破解實時防護

配置方法：使用虛擬化安全（輕代理）防爆力破解功能進行實時防護，使用該功能需有防爆力破解功能模塊授權

1) 在主機策略-分組策略中，針對受感染主機分組，編輯防爆力破解規則

2) 支持自定義防爆力破解IP白名單及IP 黑名單

修復系統配置缺陷，關閉不必要服務（如關閉默認共享、遠程桌面等），如必須啟動常規有風險的服務，建議修改默認埠

配置方法：使用虛擬化安全（輕代理）安全基線功能檢測系統配置，並修復系統配置缺陷，使用該功能需有安全基線功能模塊授權

1) 在主機管理-安全基線頁面，針對受感染分組主機進行安全掃描；

2) 掃描完成後針對受感染分組主機進行系統修復

更新病毒庫至最新版本

配置方法：使用虛擬化安全（輕代理）升級管理及升級設置功能

1) 當控制中心可以連接公網時的病毒庫升級配置

可自定義配置「自動將控制中心的主程序、病毒庫、webshell引擎更新至最新版本」、「自動將主機的病毒庫、webshell引擎升級至最新版本」

2) 隔離網環境下的病毒庫升級

方法一：檢查虛擬化安全控制台病毒庫版本，在公網http://cloud.b.360.cn/下載最新的病毒庫安裝包並導入控制台後，升級各終端病毒庫至最新版本。

註：若已開通增強版防病毒引擎，請使用windows 病毒庫增強版及Linux 病毒庫增強版更新包更新。

方法二：當控制中心無法連接公網時，可配置HTTP代理伺服器升級控制中心病毒庫

方法三：使用離線升級工具進行升級，離線升級工具使用說明文檔請見離線升級工具安裝包。

第二部分：360虛擬化安全管理系統（輕代理）V6.1配置方法

系統進行網路隔離(針對已感染設備)

配置方法：使用虛擬化安全（輕代理）防火牆功能對已感染設備進行隔離，使用該功能需有防火牆功能模塊授權。

1) 將已感染設備進行分組操作

2) 開啟終端防火牆模塊並編輯防火牆策略模板

3) 在主機策略-分組策略中，針對已感染設備分組，啟用防火牆功能並下發防火牆策略模板

開啟病毒實時防護並清除病毒操作並(針對已感染設備)

配置方法：使用虛擬化安全（輕代理）病毒查殺功能清除已感染的勒索病毒

1) 在主機策略-分組策略頁面，針對受感染主機的分組，開啟實時防護功能，並自定義實時防護相關設置，使用該功能需有防病毒功能模塊授權。

2) 對已感染設備下發全盤掃描任務

建議：若發現系統文件或可執行程序被感染，建議查殺病毒後根據業務情況安排變更重啟，重啟前請做好相關備份工作。

3) 在公網的環境下，雲查配置方式：

當控制中心與客戶端都可連接公網時，選擇「直接連接360網神雲安全鑒定中心」

當控制中心可以連接公網，客戶端不可連接公網時，可選擇「通過控制中心代理連接到360網神雲安全鑒定中心」

更新病毒庫至最新版本

配置方法：使用虛擬化安全（輕代理）升級管理及升級設置功能

1) 當控制中心可以連接公網時的病毒庫升級配置

可自定義配置病毒庫更新時間，且可手動觸發實時更新

2) 隔離網環境下的病毒庫升級

場景一：當控制中心無法連接公網時，可配置HTTP代理伺服器升級控制台病毒庫版本

場景二：當終端無法連接公網時，可配置代理伺服器升級終端病毒庫版本

場景三：使用離線升級工具進行升級，離線升級工具使用說明文檔請見離線升級工具安裝包。

第三部分 360虛擬化安全管理系統（無代理）V6.1、V7.0版本配置方法

確保惡意軟體實時防護處於開啟狀態，若發現病毒即時進行隔離、刪除處理

1) 打開實時防護： 如果打開實時防護 ，應用該安全配置的虛擬機將受到實時的防惡意軟體防護

2) 惡意軟體處理：如果在虛擬機中檢測到病毒，進行隔離、刪除處理

隔離：將惡意軟體移到隔離區

刪除：將惡意軟體永久刪除

清除病毒：針對已感染設備，進行全盤掃描發現病毒及時處理（已配備策略）

定期掃描，預防風險：建議選擇在空餘時間如下班等業務流量較少的時段對虛擬機進行全盤掃描。

註：只有虛擬機為開啟狀態才會進行定期掃描

更新病毒特徵庫、網路特徵庫至最新版

主機會每小時檢查下載新的特徵庫，如果防護系統安裝在一個封閉的私有網路，管理員需要手動在管理中心上傳更新特徵庫。如果防護系統可以訪問外網，系統會自動更新特徵庫。如果需要使用HTTP 代理，請在管理->系統設置頁面填寫正確的代理伺服器信息。

做好數據備份恢復

支持備份管理中心相關的配置文件，如安全策略、匹配規則、用戶、角色等。

支持上傳備份文件並恢復配置，恢復過程中會重啟管理中心相關進程。

點擊「創建備份」，會將管理中心相關配置文件打包生成名稱為ICS-CFG-year-month-day-hour-minute-seconds.tgz的文件。

點擊「上傳配置」，能夠將配置上傳至管理中心對應目錄並應用該配置。

設置警報規則，第一時間發現威脅，處理勒索病毒

用戶可以自定義，哪些警報規則需要發送警報郵件通知管理員。沒有配置SMTP參數情況下，「發送警報郵件「欄不可編輯。

開啟入侵防禦 ，抵禦應用程序漏洞、病毒和惡意網路通信的攻擊。

系統默認根據「適用操作系統」來顯示對應的入侵防禦規則：例如，適用操作系統為」windows」時，入侵防禦規則頁面會顯示windows下的入侵防禦規則。

在入侵防禦頁面可以根據安全等級選取所有的入侵防禦規則。

點擊列表中的規則名稱，可以打開「入侵防禦規則信息」對話框，查看詳細的信息。

2.3 360天堤產品解決方案

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！