一、概述
騰訊安全御見(jiàn)威脅情報(bào)中心接受到用戶求助,稱其公司內(nèi)服務(wù)器文件被全盤加密,被加密文件全部修改為.geer類型。經(jīng)遠(yuǎn)程協(xié)助查看,攻擊者疑似通過(guò)RDP弱口令登錄成功后投毒,再將系統(tǒng)日志全部清除。并嘗試在其機(jī)器上部署一系列掃描、對(duì)抗工具、密碼抓取工具達(dá)數(shù)十個(gè)之多,攻擊者利用這些工具,對(duì)內(nèi)網(wǎng)其它機(jī)器實(shí)施攻擊,以擴(kuò)大勒索病毒對(duì)該企業(yè)網(wǎng)絡(luò)的破壞數(shù)量,勒索更多不義之財(cái)。
由于該病毒使用RSA+salsa20加密文件,暫無(wú)有效的解密工具,我們提醒各政企機(jī)構(gòu)高度警惕,盡快消除危險(xiǎn)因素,強(qiáng)化內(nèi)網(wǎng)安全。
二、分析
該勒索病毒編寫極為簡(jiǎn)潔,僅使用22個(gè)函數(shù)來(lái)完成加密過(guò)程。病毒涉及到的部分敏感操作均使用NT函數(shù),希望借此躲過(guò)一些3環(huán)的調(diào)試下斷和部分軟件的Hook流程。同時(shí),該病毒加密文件并不做類型區(qū)分、地域區(qū)分、會(huì)嘗試加密全盤所有可訪問(wèn)到的文件,整個(gè)勒索加密模塊更像是為了此次攻擊,緊急編寫制作而成。
病毒使用RSA+salsa20的方式對(duì)文件進(jìn)行加密,RSA公鑰硬編碼Base64編碼后存放,全局生成的salsa20密鑰將被該公鑰加密后作為用戶ID使用,對(duì)每個(gè)文件生成salsa20密鑰后使用全局密鑰加密存放于文件末尾,被加密文件暫時(shí)無(wú)法解密。
如下圖中,文件被加密后添加geer擴(kuò)展后綴,同時(shí)留下名為READ_ME.txt勒索信,要求用戶聯(lián)系指定郵箱geerban@email.tg購(gòu)買解密工具。
查看用戶側(cè)染毒環(huán)境可知,攻擊者并不滿足于只攻陷這一條服務(wù)器,還企圖在內(nèi)網(wǎng)中攻擊其它機(jī)器。根據(jù)被加密的殘留痕跡信息可知,攻擊者在目標(biāo)機(jī)器部署了大量對(duì)抗工具,主要有進(jìn)程對(duì)抗工具(processhacker,Pchunter等),內(nèi)網(wǎng)掃描工具(NS),系統(tǒng)日志清理工具(Loggy cleaner.exe),同時(shí)還有大量的本地密碼抓取工具(包括mimikztz本地口令抓取,各類瀏覽器密碼抓取,郵箱密碼抓取,RDP,VNC登錄口令抓取等工具)。
被攻擊環(huán)境中存在大量殘留的密碼抓取工具,此時(shí)攻擊者會(huì)嘗試?yán)脪呙韫ぞ哌M(jìn)一步探測(cè)內(nèi)網(wǎng)其它開(kāi)放風(fēng)險(xiǎn)服務(wù)的機(jī)器,一旦該部分機(jī)器使用了與本機(jī)相同被竊取的弱密碼,則也會(huì)同時(shí)成為攻擊者加密目標(biāo)。
聯(lián)系攻擊者得到回復(fù),其索要0.37比特幣的解密贖金,市值約1.7萬(wàn)元人民幣。
三、安全建議
企業(yè)用戶:
1、盡量關(guān)閉不必要的端口,如:445、135,139等,對(duì)3389,5900等端口可進(jìn)行白名單配置,只允許白名單內(nèi)的IP連接登陸。
2、盡量關(guān)閉不必要的文件共享,如有需要,請(qǐng)使用ACL和強(qiáng)密碼保護(hù)來(lái)限制訪問(wèn)權(quán)限,禁用對(duì)共享文件夾的匿名訪問(wèn)。
3、采用高強(qiáng)度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務(wù)器密碼使用高強(qiáng)度且無(wú)規(guī)律密碼,并且強(qiáng)制要求每個(gè)服務(wù)器使用不同密碼管理。
4、對(duì)沒(méi)有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問(wèn)設(shè)置相應(yīng)控制,避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器。
5、對(duì)重要文件和數(shù)據(jù)(數(shù)據(jù)庫(kù)等數(shù)據(jù))進(jìn)行定期非本地備份。
6、教育終端用戶謹(jǐn)慎下載陌生郵件附件,若非必要,應(yīng)禁止啟用Office宏代碼。
7、在終端/服務(wù)器部署專業(yè)安全防護(hù)軟件,Web服務(wù)器可考慮部署在騰訊云等具備專業(yè)安全防護(hù)能力的云服務(wù)。
8、建議全網(wǎng)安裝御點(diǎn)終端安全管理系統(tǒng)(https://s.tencent.com/product/yd/index.html)。御點(diǎn)終端安全管理系統(tǒng)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控,以及策略管控等全方位的安全管理功能,可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。
個(gè)人用戶:
1、啟用騰訊電腦管家,勿隨意打開(kāi)陌生郵件,關(guān)閉Office執(zhí)行宏代碼;
2、打開(kāi)電腦管家的文檔守護(hù)者功能,利用磁盤冗余空間自動(dòng)備份數(shù)據(jù)文檔,即使發(fā)生意外,數(shù)據(jù)也可有備無(wú)患。
IOCs
MD5:
b27e50375a815f59a8a8b33fd5d04367
感謝騰訊御見(jiàn)威脅情報(bào)中心來(lái)稿!
原文:https://mp.weixin.qq.com/s/PRvcgISEyjek0xh1MW50Qw
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
