亚洲免费在线-亚洲免费在线播放-亚洲免费在线观看-亚洲免费在线观看视频-亚洲免费在线看-亚洲免费在线视频

Geerban勒索病毒正在爆破傳播,還用了數(shù)十款密碼抓取工具

張軍 3663 0

一、概述
騰訊安全御見(jiàn)威脅情報(bào)中心接受到用戶求助,稱其公司內(nèi)服務(wù)器文件被全盤加密,被加密文件全部修改為.geer類型。經(jīng)遠(yuǎn)程協(xié)助查看,攻擊者疑似通過(guò)RDP弱口令登錄成功后投毒,再將系統(tǒng)日志全部清除。并嘗試在其機(jī)器上部署一系列掃描、對(duì)抗工具、密碼抓取工具達(dá)數(shù)十個(gè)之多,攻擊者利用這些工具,對(duì)內(nèi)網(wǎng)其它機(jī)器實(shí)施攻擊,以擴(kuò)大勒索病毒對(duì)該企業(yè)網(wǎng)絡(luò)的破壞數(shù)量,勒索更多不義之財(cái)。


由于該病毒使用RSA+salsa20加密文件,暫無(wú)有效的解密工具,我們提醒各政企機(jī)構(gòu)高度警惕,盡快消除危險(xiǎn)因素,強(qiáng)化內(nèi)網(wǎng)安全。

張軍博客


二、分析
該勒索病毒編寫極為簡(jiǎn)潔,僅使用22個(gè)函數(shù)來(lái)完成加密過(guò)程。病毒涉及到的部分敏感操作均使用NT函數(shù),希望借此躲過(guò)一些3環(huán)的調(diào)試下斷和部分軟件的Hook流程。同時(shí),該病毒加密文件并不做類型區(qū)分、地域區(qū)分、會(huì)嘗試加密全盤所有可訪問(wèn)到的文件,整個(gè)勒索加密模塊更像是為了此次攻擊,緊急編寫制作而成。

張軍博客



病毒使用RSA+salsa20的方式對(duì)文件進(jìn)行加密,RSA公鑰硬編碼Base64編碼后存放,全局生成的salsa20密鑰將被該公鑰加密后作為用戶ID使用,對(duì)每個(gè)文件生成salsa20密鑰后使用全局密鑰加密存放于文件末尾,被加密文件暫時(shí)無(wú)法解密。

張軍博客




如下圖中,文件被加密后添加geer擴(kuò)展后綴,同時(shí)留下名為READ_ME.txt勒索信,要求用戶聯(lián)系指定郵箱geerban@email.tg購(gòu)買解密工具。

張軍博客

 

張軍博客


查看用戶側(cè)染毒環(huán)境可知,攻擊者并不滿足于只攻陷這一條服務(wù)器,還企圖在內(nèi)網(wǎng)中攻擊其它機(jī)器。根據(jù)被加密的殘留痕跡信息可知,攻擊者在目標(biāo)機(jī)器部署了大量對(duì)抗工具,主要有進(jìn)程對(duì)抗工具(processhacker,Pchunter等),內(nèi)網(wǎng)掃描工具(NS),系統(tǒng)日志清理工具(Loggy cleaner.exe),同時(shí)還有大量的本地密碼抓取工具(包括mimikztz本地口令抓取,各類瀏覽器密碼抓取,郵箱密碼抓取,RDP,VNC登錄口令抓取等工具)。

張軍博客


被攻擊環(huán)境中存在大量殘留的密碼抓取工具,此時(shí)攻擊者會(huì)嘗試?yán)脪呙韫ぞ哌M(jìn)一步探測(cè)內(nèi)網(wǎng)其它開(kāi)放風(fēng)險(xiǎn)服務(wù)的機(jī)器,一旦該部分機(jī)器使用了與本機(jī)相同被竊取的弱密碼,則也會(huì)同時(shí)成為攻擊者加密目標(biāo)。

張軍博客

張軍博客



聯(lián)系攻擊者得到回復(fù),其索要0.37比特幣的解密贖金,市值約1.7萬(wàn)元人民幣。

張軍博客


三、安全建議
企業(yè)用戶:
1、盡量關(guān)閉不必要的端口,如:445、135,139等,對(duì)3389,5900等端口可進(jìn)行白名單配置,只允許白名單內(nèi)的IP連接登陸。


2、盡量關(guān)閉不必要的文件共享,如有需要,請(qǐng)使用ACL和強(qiáng)密碼保護(hù)來(lái)限制訪問(wèn)權(quán)限,禁用對(duì)共享文件夾的匿名訪問(wèn)。


3、采用高強(qiáng)度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務(wù)器密碼使用高強(qiáng)度且無(wú)規(guī)律密碼,并且強(qiáng)制要求每個(gè)服務(wù)器使用不同密碼管理。


4、對(duì)沒(méi)有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問(wèn)設(shè)置相應(yīng)控制,避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器。


5、對(duì)重要文件和數(shù)據(jù)(數(shù)據(jù)庫(kù)等數(shù)據(jù))進(jìn)行定期非本地備份。


6、教育終端用戶謹(jǐn)慎下載陌生郵件附件,若非必要,應(yīng)禁止啟用Office宏代碼。


7、在終端/服務(wù)器部署專業(yè)安全防護(hù)軟件,Web服務(wù)器可考慮部署在騰訊云等具備專業(yè)安全防護(hù)能力的云服務(wù)。

張軍博客


8、建議全網(wǎng)安裝御點(diǎn)終端安全管理系統(tǒng)(https://s.tencent.com/product/yd/index.html)。御點(diǎn)終端安全管理系統(tǒng)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控,以及策略管控等全方位的安全管理功能,可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。


個(gè)人用戶:
1、啟用騰訊電腦管家,勿隨意打開(kāi)陌生郵件,關(guān)閉Office執(zhí)行宏代碼;


2、打開(kāi)電腦管家的文檔守護(hù)者功能,利用磁盤冗余空間自動(dòng)備份數(shù)據(jù)文檔,即使發(fā)生意外,數(shù)據(jù)也可有備無(wú)患。


IOCs
MD5:
b27e50375a815f59a8a8b33fd5d04367


感謝騰訊御見(jiàn)威脅情報(bào)中心來(lái)稿!

原文:https://mp.weixin.qq.com/s/PRvcgISEyjek0xh1MW50Qw


更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主

微信掃碼或搜索:z360901061

微信掃一掃加我為好友

QQ號(hào)聯(lián)系: 360901061

您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。

【本文對(duì)您有幫助就好】

您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描上面二維碼支持博主2元、5元、10元、自定義金額等您想捐的金額吧,站長(zhǎng)會(huì)非常 感謝您的哦!!!

發(fā)表我的評(píng)論
最新評(píng)論 總共0條評(píng)論
主站蜘蛛池模板: 九九精品久久久久久噜噜 | 日日噜噜夜夜狠狠tv视频免费 | 久久综合久久精品 | 操操插插 | 久热精品男人的天堂在线视频 | 久久久久久久91精品免费观看 | 久久五月天综合 | 免费精品美女久久久久久久久久 | 亚洲精品第五页中文字幕 | 大学生不戴套毛片视频 | 亚洲精品第五页中文字幕 | 一级毛片国产 | 国产偷国产偷亚洲高清在线 | 国产系列 视频二区 | 天天色天天操天天射 | 91久久夜色精品国产网站 | 成年午夜性视频免费播放 | 高清一级做a爱过程免费视频 | 欧洲激情乱子伦 | 久久国产精品夜色 | 深夜久久 | 中文字幕色 | 久久精品国产麻豆不卡 | 国产亚洲一级精品久久 | 动漫精品欧美一区二区三区 | 日日a.v拍夜夜添久久免费 | 九九在线精品视频 | 狠狠综合久久久久尤物丿 | 免费中文字幕在线 | 亚洲高清毛片 | 午夜亚洲国产精品福利 | 欧美一级久久 | 快射视频欧美 | 性一交一乱一欲0 | 日本精品视频在线观看 | 一区二区三区视频 | 在线看一区 | 国产精选一区二区 | 国产又黄又a又潮娇喘视频 国产又色又爽又黄又刺激18 | 色姑娘综合| 97人人澡 |