<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基網 首頁 電腦 殺毒安全 查看內容

              防毒殺毒:深度解析勒索病毒GlobeImposter3.0變種

              2019-2-27 14:34| 投稿: xiaotiger |來自: 互聯網


              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

              摘要: 摘要: 背景 GlobeImposter勒索病毒家族從2017年出現,持續活躍到現在,先后出現過V1.0和V2.0兩個版本。最近該勒索病毒又更新了,雖然其整體代碼框架變化不大,只做了些局部修改,我們也勉強將其稱為V3.0版本。背景G ...

              摘要: 背景 GlobeImposter勒索病毒家族從2017年出現,持續活躍到現在,先后出現過V1.0和V2.0兩個版本。最近該勒索病毒又更新了,雖然其整體代碼框架變化不大,只做了些局部修改,我們也勉強將其稱為V3.0版本。

              背景

              GlobeImposter勒索病毒家族從2017年出現,持續活躍到現在,先后出現過V1.0和V2.0兩個版本。最近該勒索病毒又更新了,雖然其整體代碼框架變化不大,只做了些局部修改,我們也勉強將其稱為V3.0版本。該版本仍然采用RSA和AES兩種加密算法的結合,病毒本身也未添加橫向傳播滲透的能力。

              相較之前版本,該版本對RSA公鑰和加密文件后綴采用了加密處理,且將加密文件的后綴改成.動物名稱+4444的樣子,如:.Horse4444,還會將中招用戶的ID信息保存在C:\Users\public\路徑下,文件名是其對應RSA公鑰的SHA256的值。當加密完成后,除了之前已有的清除遠程桌面登錄信息,還添加了自刪除的功能。

              目前該類敲詐者病毒主要的傳播方式是掃描滲透配合遠程桌面登錄爆破的方式進行傳播,如果重要文件被加密了,根本沒辦法解密。阿里云安全團隊對GlobeImposter勒索病毒做了最全面的分析,包括其所有的傳播方式和路徑,希望各企業和用戶提前加固防護,以防服務器數據被加密勒索,造成不可挽回的損失。

              GlobeImposter家族加解密流程圖

              該勒索病毒家族的加密文件流程圖如下:



              相反黑客解密文件的流程圖如下:



              GlobeImposter V3.0 樣本細節

              1. 該樣本運行后會動態解密出黑客的RSA的公鑰,而之前的V2.0版本是直接寫死在代碼中。其公鑰解密出來后的樣子如下圖:



              2. 該勒索病毒在全盤遍歷文件的時候,會根據一些關鍵詞來做過濾和篩選。其中這些關鍵詞也是動態解密出來的,其解密代碼如下:



              3. 該勒索病毒從環境變量中獲取"LOCALAPPDATA"的路徑,然后將自身拷貝到該目錄下,且偽裝成瀏覽器的更新程序,在注冊表RunOnce添加BrowserUpdateCheck自啟動:



              4. 將用戶ID信息以文件保存在C:\Users\public\路徑下,且其文件名是黑客的RSA公鑰的SHA256的值:A1965A0B3E0B2DD766735BAA06C5E8F419AB070A92408411BDB0DC1FFB69D8FC。其具體內容如下:



              5. 該勒索病毒支持的加密磁盤的類型有三種:硬盤、移動硬盤、網絡硬盤。其判斷不同類型硬盤的代碼如下:



              其中各硬盤類型及其含義類型如下表:



              6. 當加密完成后,該勒索病毒還會"打掃戰場",在臨時目錄下生成一個隨機文件名的.bat文件,如:tmpADF9.tmp.bat,目的就是為了清除rdp登錄的歷史記錄,然后自刪除。bat的內容如下:



              其自刪除的代碼如下:

              傳播方式

              方式一、利用mimikatz.exe掃描本機的所有賬戶機器密碼,將結果保存到result.txt里面,如果被攻破的機器為域管理員機器,那么整個域中的所有機器將淪陷。拿到其他機器的賬號,成功登陸進而重復該步驟,再次進行傳播。其具體命令行如下:



              方式二、利用局域網掃描工具nasp.exe,掃描哪些機器開放3389端口。然后遠程登錄桌面爆破工具NLBrute.exe會根據掃描結果,依次爆破局域網的機器。拿到機器賬號后,成功登陸進而重復該步驟,再次進行傳播。



              遠程登錄桌面爆破工具NLBrute.exe的配置截圖如下:



              專家建議

              針對這種主要以遠程登錄桌面爆破的方式傳播的勒索病毒,在對服務器上的重要數據做好及時備份的同時,還建議關閉或者修改遠程登錄桌面的端口。不同的服務器需要使用不同的高強度密碼,杜絕弱密碼的存在。定期檢查機器的漏洞情況,及時安裝漏洞補丁。關閉服務器之間的文件共享,關閉或者修改一些常用端口:445、135、139等等。對內網的安全域進行合理的劃分,域之間做好各種ACL的限制,尤其是域管理員機器,一旦被攻破,則整個局域網淪陷。除此之外還要做好全流量日志的記錄和監控,如果發現網絡被攻破,或橫向傳播的行為,及時查看日志,查缺補漏。盡可能提高服務器的安全性,以防企業核心數據被加密,造成重大損失。

              小編給的處置建議

              1、服務器、終端防護

              1.1、所有服務器、終端應強行實施復雜密碼策略,杜絕弱口令。

              1.2、杜絕使用通用密碼管理所有機器。

              1.3、安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫。

              1.4、及時安裝漏洞補丁。

              1.5、服務器開啟關鍵日志收集功能,為安全事件的追蹤溯源提供基礎。

              2、網絡防護與安全監測

              2.1、對內網安全域進行合理劃分。各個安全域之間限制嚴格的 ACL,限制橫向移動的范圍。

              2.2、重要業務系統及核心數據庫應當設置獨立的安全區域并做好區域邊界的安全防御,嚴格限制重要區域的訪問權限并關閉telnet、snmp等不必要、不安全的服務。

              2.3、在網絡內架設 IDS/IPS 設備,及時發現、阻斷內網的橫向移動行為。

              2.4、在網絡內架設全流量記錄設備,以及發現內網的橫向移動行為,并為追蹤溯源提供良好的基礎。

              2.5、通過ACL禁止IP:54.37.65.160的出站方向訪問。

              3、應用系統防護及數據備份

              3.1、應用系統層面,需要對應用系統進行安全滲透測試與加固,保障應用系統自身安全可控。

              3.2、對業務系統及數據進行及時備份,并驗證備份系統及備份數據的可用性。

              3.3、建立安全災備預案,一但核心系統遭受攻擊,需要確保備份業務系統可以立即啟用;同時,需要做好備份系統與主系統的安全隔離工作,辟免主系統和備份系統同時被攻擊,影響業務連續性。

              安全防護本身是一個動態的對抗過程,在以上安全加固措施的基礎上,日常工作中,還需要加強系統使用過程的管理與網絡安全狀態的實時監測:

              電腦中不使用不明來歷的U盤、移動硬盤等存儲設備;不接入公共網絡,同時機構的內部網絡中不運行不明來歷的設備接入。

              要常態化的開展安全檢查和評估,及時發現安全薄弱環節,及時修補安全漏洞和安全管理機制上的不足,時刻保持系統的安全維持在一個相對較高的水平;(類似定期體檢)

              及時關注并跟進網絡安全的技術進步,有條件的單位,可以采取新型的基于大數據的流量的監測設備并配合專業的分析服務,以便做到蠕蟲病毒的第一時間發現、第一時間處置、第一時間溯源根除。


              小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

              本文出自:https://www.toutiao.com/a6660773395476513287/

              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


              鮮花

              握手

              雷人

              路過

              雞蛋

              相關閱讀

              最新評論

               最新
              返回頂部
              十一选五奖金对照表