GlobeImposter家族的勒索樣本分析過程

概述

近日來，安恆安全人員頻繁接到用戶單位伺服器受到勒索病毒攻擊，其中某醫療機構出現幾十台設備藍屏和數台設備被感染。經過分析判定感染設備的勒索軟體是GlobeImposter家族的新變種。變種病毒樣本通常使用包含混淆的JaveScript腳本的郵件傳播，加密系統文件並對用戶實行支付方式的勒索。將加密文件重命名為.TRUE/.TECHNO/.CHAK/.LIN/.GOTHAM等擴展名。由於GlobeImposter家族使用的演算法複雜，解密非常困難。

經過安恆APT預警平台分析定位，此次勒索病毒黑客除了使用GlobeImposter家族的新變種對伺服器進行加密實現勒索外，同時黑客還持續使用WannaCry進行勒索。

事件分析

事件一過程分析

經分析發現，用戶出現的勒索病毒是GlobeImposter家族的變種，該勒索病毒將加密後的文件重命名為.TRUE/.TECHNO等擴展名。以下為對此次GlobeImposter家族的勒索樣本分析過程：

首先它會解密加密排除目錄和加密所使用的後綴名稱：

動態進行調試時能解密這些目錄，如：Windows、Microsoft等目錄

接著拷貝到系統目錄並設置為自啟動：

接著使用CryptGenRandom隨機生成的密鑰對系統文件進行加密。

加密文件使用的都是一些常見加密操作，最終勒索的界面如下：

事實上，該勒索軟體存在一個嚴重編碼的問題，它設置很多的目錄不加密，但是還是有遺漏，導致感染了系統啟動關鍵文件，如感染了「Boot.ini」。

被感染的系統在重啟後便會啟動失敗，提示文件丟失。如下圖：

事件二過程分析

某市機構反饋出現多台設備出現藍屏，經判定，用戶主機受到臭名昭著的勒索病毒WannaCry蠕蟲感染，安恆安全人員攜帶APT預警平台協助用戶進行追蹤溯源。迅速定位到受感染主機上的異常進程文件mssecsvc.exe和mssecsvr.exe，對其定位過程如下：

（1）APT檢測到SMB遠程命令執行成功的告警。

（2）通過對伺服器埠445佔用情況分析發現進程ID為8988和5376的兩個進程持續異常活躍。

（3）對進程進行定位發現mssecsvc.exe和mssecsvr.exe蠕蟲。

（4）通過APT預警平台對樣本檢測，其為17年5月份爆發的WannaCry蠕蟲。此次就不再對這兩個樣本詳細展開分析。

防護建議

（1）對於已經感染的系統

a、斷開已經感染的主機系統的網路連接， 防止進一步擴散；

b、優先檢查未感染主機的漏洞狀況，做好漏洞加固工作後方可恢復網路連接。

c、已經感染終端，根據終端數據重要性決定處置方式，如果重新安裝系統則建議完全格式化硬碟、使用全新操作系統、完善操作系統補丁、安裝防病毒軟體並通過檢查確認無相關漏洞後再恢復網路連接。

（2）對於未感染的系統

a、拔掉網線之後再開機啟動；

b、做好重要文件的備份工作，備份與感染主機隔離；

c、對系統更新補丁。安裝防病毒軟體，開啟防護策略，定期更新查殺；

d、對可疑郵件謹慎操作；

e、對GlobeImposter勒索軟體變種利用RDP協議暴力破解系統密碼方式實現傳播，建議關閉非必要RDP；

f、關閉不必要的埠，如：445、135，139等，對3389埠可進行白名單配置，只允許白名單內的ip連接登錄；

g、採用高強度的口令，避免使用弱口令密碼，並定期更換密碼。建議伺服器密碼使用高強度且無規律密碼；

h、部署安恆APT預警平台進行檢測。

- END -

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！