<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基网 首页 电脑 杀毒安全 查看内容

              防毒杀毒:深度解析勒索病毒GlobeImposter3.0变种

              2019-2-27 14:34| 投稿: xiaotiger |来自: 互联网


              免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

              摘要: 摘要: 背景 GlobeImposter勒索病毒家族从2017年出现,持续活跃到现在,先后出现过V1.0和V2.0两个版本。最近该勒索病毒又更新了,虽然其整体代码框架变化不大,只做了些局部修改,我们也勉强将其称为V3.0版本。背景G ...

              摘要: 背景 GlobeImposter勒索病毒家族从2017年出现,持续活跃到现在,先后出现过V1.0和V2.0两个版本。最近该勒索病毒又更新了,虽然其整体代码框架变化不大,只做了些局部修改,我们也勉强将其称为V3.0版本。

              背景

              GlobeImposter勒索病毒家族从2017年出现,持续活跃到现在,先后出现过V1.0和V2.0两个版本。最近该勒索病毒又更新了,虽然其整体代码框架变化不大,只做了些局部修改,我们也勉强将其称为V3.0版本。该版本仍然采用RSA和AES两种加密算法的结合,病毒本身也未添加横向传播渗透的能力。

              相?#29616;?#21069;版本,该版本对RSA公钥和加密文件后缀采用了加密处理,且将加密文件的后缀改成.动物名称+4444的样子,如:.Horse4444,还会将中招用户的ID信息保存在C:\Users\public\路径下,文件名是其对应RSA公钥的SHA256的值。当加密完成后,除了之前已有的清除远程桌面登录信息,还添加了自删除的功能。

              目前该类敲诈者病毒主要的传播方式?#24039;?#25551;渗透配合远程桌面登录爆破的方式进行传播,如果重要文件被加密了,根本没办法解密。阿里云安全团队对GlobeImposter勒索病毒做了最全面的分析,包括其所有的传播方式和路径,希望各企业和用户提前加固防护,以防服务器数据被加密勒索,造成不可挽回的损失。

              GlobeImposter家族加解密流程图

              该勒索病毒家族的加密文件流程图如下:



              相反黑客解密文件的流程图如下:



              GlobeImposter V3.0 样本细节

              1. 该样本运行后会动态解密出黑客的RSA的公钥,而之前的V2.0版本?#20405;苯有?#27515;在代码中。其公钥解密出来后的样子如下图:



              2. 该勒索病毒在全盘遍历文件的时候,会根据一些关键词来做过滤和筛选。其中这些关键词也是动态解密出来的,其解密代码如下:



              3. 该勒索病毒从环境变量中获取"LOCALAPPDATA"的路径,然后将自身拷贝到该目录下,且伪装成浏览器的更新程序,在注册表RunOnce添加BrowserUpdateCheck自启动:



              4. 将用户ID信息以文件保存在C:\Users\public\路径下,且其文件名是黑客的RSA公钥的SHA256的值:A1965A0B3E0B2DD766735BAA06C5E8F419AB070A92408411BDB0DC1FFB69D8FC。其具体内容如下:



              5. 该勒索病毒支持的加密磁盘的类型有三种:硬盘、移动硬盘、网络硬盘。其判断不同类型硬盘的代码如下:



              其中各硬盘类型及其含义类型如下表:



              6. 当加密完成后,该勒索病毒还会"打扫战场",在临时目录下生成一个随机文件名的.bat文件,如:tmpADF9.tmp.bat,目的就是为了清除rdp登录的历史记录,然后自删除。bat的内容如下:



              其自删除的代码如下:

              传播方式

              方式一、利用mimikatz.exe扫描本机的所有账户机器密码,将结果保存到result.txt里面,如果被攻破的机器为域管理员机器,?#25970;?#25972;个域中的所有机器将沦陷。拿到其他机器的账号,成功登陆进而重复该步骤,再次进行传播。其具体命令行如下:



              方式二、利用局域网扫描工具nasp.exe,扫描哪些机器开放3389端口。然后远程登录桌面爆破工具NLBrute.exe会根据扫描结果,?#26469;?#29190;破局域网的机器。拿到机器账号后,成功登陆进而重复该步骤,再次进行传播。



              远程登录桌面爆破工具NLBrute.exe的配置截图如下:



              专家建议

              针对这种主要以远程登录桌面爆破的方式传播的勒索病毒,在对服务器?#31995;?#37325;要数据做好及时备份的同?#20445;?#36824;建议关闭或者修改远程登录桌面的端口。不同的服务器需要使用不同的高强度密码,杜绝弱密码的存在。定期检查机器的漏洞情况,及时安装漏洞补丁。关闭服务器之间的文件共享,关闭或者修改一些常用端口:445、135、139等?#21462;?#23545;内网的安全域进行合理的划分,域之间做好各种ACL的限制,尤其是域管理员机器,一旦被攻破,则整个局域网沦陷。除此之外还要做好全流量日志的记录和监控,如果发现网络被攻破,或横向传播的行为,及时查看日志,查缺补漏。尽可能提高服务器的安全性,以防企业核心数据被加密,造成重大损失。

              小编给的处置建议

              1、服务器、终端防护

              1.1、所有服务器、终端应强行实施复杂密码策略,杜绝弱口令。

              1.2、杜绝使用通用密码管理所有机器。

              1.3、安装杀毒软件、终端安全管理软件并及时更新病毒库。

              1.4、及时安装漏洞补丁。

              1.5、服务器开启关键日志收集功能,为安全?#24405;?#30340;追踪溯源提供基础。

              2、网络防护与安全监测

              2.1、对内网安全域进行合理划分。各个安全域之间限制?#32454;?#30340; ACL,限制横向移动的范围。

              2.2、重要业务系统及核心数据库应当设置独立的安全区域并做?#20204;?#22495;边界的安全防御,?#32454;?#38480;制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。

              2.3、在网络内架设 IDS/IPS 设备,及时发现、阻断内网的横向移动行为。

              2.4、在网络内架设全流量记录设备,以及发现内网的横向移动行为,并为追踪溯源提供良好的基础。

              2.5、通过ACL禁止IP:54.37.65.160的出站方向访问。

              3、应用系统防护及数据备份

              3.1、应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。

              3.2、对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。

              3.3、建立安全?#30452;?#39044;案,一但核心系统遭受攻击,需要确保备份业务系统可以立即启用;同?#20445;?#38656;要做好备份系统与主系统的安全隔离工作,辟免主系统和备份系统同时被攻击,影响业务连续性。

              安全防护本身?#19988;?#20010;动态的对抗过程,在以上安全加固措施的基础?#24076;?#26085;常工作中,还需要加强系统使用过程的管理与网络安全状态的实时监测:

              电脑中不使用不明来历的U盘、移动硬盘等存储设备;不接入公共网络,同时机构的内部网络中不运行不明来历的设备接入。

              要常态化的开展安全检查和评估,及时发现安全薄弱?#26041;冢?#21450;时修补安全漏洞和安全管理机制?#31995;?#19981;足,时刻保持系统的安全维持在一个相对较高的水平;(类似定期体检)

              及时关注并跟进网络安全的技术进步,有条件的单位,可以采取新型的基于大数据的流量的监测设备并配合专业的分析服务,以便做到蠕虫病毒的第一时间发现、第一时间处置、第一时间溯源根除。



              小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培?#21040;?#31243;免费学,让您少走弯路、事半功倍,好工作升职?#26377;劍?/font>

              本文出自:https://www.toutiao.com/a6660773395476513287/

              免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


              鲜花

              ?#24080;?/a>

              雷人

              路过

              鸡蛋

              相关阅读

              最新评论

               最新
              返回顶部
              十一选五奖金对照表