GlobeImposter家族的勒索樣本分析過程
概述
近日來,安恆安全人員頻繁接到用戶單位伺服器受到勒索病毒攻擊,其中某醫療機構出現幾十台設備藍屏和數台設備被感染。經過分析判定感染設備的勒索軟體是GlobeImposter家族的新變種。變種病毒樣本通常使用包含混淆的JaveScript腳本的郵件傳播,加密系統文件並對用戶實行支付方式的勒索。將加密文件重命名為.TRUE/.TECHNO/.CHAK/.LIN/.GOTHAM等擴展名。由於GlobeImposter家族使用的演算法複雜,解密非常困難。
經過安恆APT預警平台分析定位,此次勒索病毒黑客除了使用GlobeImposter家族的新變種對伺服器進行加密實現勒索外,同時黑客還持續使用WannaCry進行勒索。
事件分析
事件一過程分析
經分析發現,用戶出現的勒索病毒是GlobeImposter家族的變種,該勒索病毒將加密後的文件重命名為.TRUE/.TECHNO等擴展名。以下為對此次GlobeImposter家族的勒索樣本分析過程:
首先它會解密加密排除目錄和加密所使用的後綴名稱:
動態進行調試時能解密這些目錄,如:Windows、Microsoft等目錄
接著拷貝到系統目錄並設置為自啟動:
接著使用CryptGenRandom隨機生成的密鑰對系統文件進行加密。
加密文件使用的都是一些常見加密操作,最終勒索的界面如下:
事實上,該勒索軟體存在一個嚴重編碼的問題,它設置很多的目錄不加密,但是還是有遺漏,導致感染了系統啟動關鍵文件,如感染了「Boot.ini」。
被感染的系統在重啟後便會啟動失敗,提示文件丟失。如下圖:
事件二過程分析
某市機構反饋出現多台設備出現藍屏,經判定,用戶主機受到臭名昭著的勒索病毒WannaCry蠕蟲感染,安恆安全人員攜帶APT預警平台協助用戶進行追蹤溯源。迅速定位到受感染主機上的異常進程文件mssecsvc.exe和mssecsvr.exe,對其定位過程如下:
(1)APT檢測到SMB遠程命令執行成功的告警。
(2)通過對伺服器埠445佔用情況分析發現進程ID為8988和5376的兩個進程持續異常活躍。
(3)對進程進行定位發現mssecsvc.exe和mssecsvr.exe蠕蟲。
(4)通過APT預警平台對樣本檢測,其為17年5月份爆發的WannaCry蠕蟲。此次就不再對這兩個樣本詳細展開分析。
防護建議
(1)對於已經感染的系統
a、斷開已經感染的主機系統的網路連接, 防止進一步擴散;
b、優先檢查未感染主機的漏洞狀況,做好漏洞加固工作後方可恢復網路連接。
c、已經感染終端,根據終端數據重要性決定處置方式,如果重新安裝系統則建議完全格式化硬碟、使用全新操作系統、完善操作系統補丁、安裝防病毒軟體並通過檢查確認無相關漏洞後再恢復網路連接。
(2)對於未感染的系統
a、拔掉網線之後再開機啟動;
b、做好重要文件的備份工作,備份與感染主機隔離;
c、對系統更新補丁。安裝防病毒軟體,開啟防護策略,定期更新查殺;
d、對可疑郵件謹慎操作;
e、對GlobeImposter勒索軟體變種利用RDP協議暴力破解系統密碼方式實現傳播,建議關閉非必要RDP;
f、關閉不必要的埠,如:445、135,139等,對3389埠可進行白名單配置,只允許白名單內的ip連接登錄;
g、採用高強度的口令,避免使用弱口令密碼,並定期更換密碼。建議伺服器密碼使用高強度且無規律密碼;
h、部署安恆APT預警平台進行檢測。
- END -
※醫療行業遭遇勒索病毒攻擊
※Intel CPU漏洞分析與安恆信息產品影響解讀
TAG:安恆信息 |