深信服發現GlobeImposter2.0病毒 疑似利用微軟PsExec進行內網傳播

來源:FreeBuf.COM | 2019-10-11 15:17:46 |

近日,深信服安全團隊發現了GlobeImposter2.0勒索病毒新變種,該變種疑似利用微軟官網工具PsExec進行內網傳播并使用了新的勒索界面。截止目前,國內已在政府單位、建筑地產等行業發現多個感染案例。

此外,我們觀察到,國外用戶也同時受到該變種侵害,Twitter安全研究賬號GrujaRS同步發現該變種有活躍現象。

本次發現的勒索病毒正是GlobeImposter2.0家族的新變種。勒索界面如下:

該變種文件加密后綴一共有21個:

.Erenahen,.bobelectron,.ciphered,.tabufa,.saveyoudata,.saveyourdata,.hotprice8,.666decrypt666,.1ibertoned,.unlockassistant,.shelbyboom,AsabHadare,.helpinc,.Coockish,.rescuerr,.supporthelpgood,.decrypt019,.Saveyourdata,.decrypt2019,.helprobot,.telcomsupp2351,.Gamgamga

該變種使用的黑客郵箱有:

[email protected]

[email protected]

[email protected]

[email protected]

GlobeImposter家族簡介

GlobeImposter是近期非常活躍的勒索家族,首次出現在2017年5月份,此后,不斷出現新的版本和變種;今年七月,更有“十二主神”系列爆發,國內醫療行業深受威脅。深信服安全團隊一直持續關注并跟蹤此勒索病毒家族,下圖是深信服跟蹤GlobeImposter勒索病毒演進的時間軸:

GlobeImposter2.0最新變種詳細分析

在被勒索的主機中,發現勒索時間點生成了PsExec服務以及3個腳本文件:

PsExec是微軟發布的一個輕量級telnet替代工具,使用者無需手動安裝客戶端軟件即可執行其他系統上的進程,并且可以獲得與控制臺應用程序相當的完全交互性。微軟官方介紹了該工具的安裝和使用方法,并且提醒用戶該工具會被惡意軟件利用。

腳本文件內容如下,其功能為結束mssqlserver以及反病毒軟件:

樣本分析

解密出內置rsa公鑰信息,計算內置rsa公鑰的sha256哈希,使用內置rsa公鑰的sha256哈希作為aes密鑰解密出加密文件后綴以及信息提示文件名稱:

解密出文件夾白名單,后綴名白名單。詳細文件夾名稱如下:

Windows, Microsoft, Microsoft Help, Windows App Certification Kit, windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Nindows Phone Kits, Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, windows Sidebar, WindowsPowerShel1, VIDIA Corporation, Microsoft. NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr. Web, Symantec, Symantec_Client_Security, system volume information, **G, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, ProgramData

獲取%localappdata%者%appdata%目錄,將自身拷貝過去。添加到Software\Microsoft\Windows\CurrentVersion\RunOnce下的BrowserUpdateCheck作為啟動項,其會進行檢測是否已被感染:

然后其會在用戶的%pulbic%或者%ALLUSERPROFILE%下創建內置rsa公鑰的sha256哈希為名稱的文件,其中保存著用戶ID信息以及生成的rsa公鑰等信息:

再對用戶磁盤進行遍歷,包括移動磁盤,固定磁盤以及網絡磁盤(基本上是共享或者映射)然后對文件進行加密。

加密完之后會在用戶temp目錄下生成tmp.bat用來刪除用戶磁盤卷影,遠程桌面連接信息,刪除日志信息等:

然后創建一個cmd進程將自身刪除:

解決方案:

針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

病毒檢測查殺

1、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、深信服EDR產品、下一代防火墻及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測,如圖所示:

病毒防御

深信服安全團隊再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:

1、及時給電腦打補丁,修復漏洞。

2、對重要的數據文件定期進行非本地備份。

3、不要點擊來源不明的郵件附件,不從不明網站下載軟件。

4、盡量關閉不必要的文件共享權限。

5、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

6、如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

7、深信服防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。

8、深信服防火墻客戶,建議升級到AF805版本,并開啟人工智能引擎Save,以達到最好的防御效果。

9、使用深信服安全產品,接入安全云腦,使用云查服務可以即時檢測防御新威脅。

10、深信服推出安全運營服務,通過以“人機共智”的服務模式幫助用戶快速擴展安全能力,針對此類威脅安全運營服務提供設備安全設備策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防范此類威脅。

最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。(作者:深信服千里目安全實驗室)

除非特別注明,本站所有文章均不代表本站觀點。投訴QQ:55313 8779
网络游戏赛车