干货 | GlobeImposter家族的勒索样本分析过程

概述

近日来,安恒安全人员频繁接到用户单位服务器受到勒索病毒攻击,其中某医疗机构出现几十台设备蓝屏和数台设备被感染。经过分析判定感染设备的勒索软件是GlobeImposter家族的新变种。变种病毒样本通常使用包含混淆的JaveScript脚本的邮件传播,加密系统文件并对用户实行支付方式的勒索。将加密文件重命名为.TRUE/.TECHNO/.CHAK/.LIN/.GOTHAM等扩展名。由于GlobeImposter家族使用的算法复杂,解密非常困难。

经过安恒APT预警平台分析定位,此次勒索病毒黑客除了使用GlobeImposter家族的新变种对服务器进行加密实现勒索外,同时黑客还持续使用WannaCry进行勒索。

事件分析

事件一过程分析

经分析发现,用户出现的勒索病毒是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.TRUE/.TECHNO等扩展名。以下为对此次GlobeImposter家族的勒索样本分析过程:

首先它会解密加密排除目录和加密所使用的后缀名称:

动态进行调试时能解密这些目录,如:Windows、Microsoft等目录

接着拷贝到系统目录并设置为自启动:

接着使用CryptGenRandom随机生成的密钥对系统文件进行加密。

加密文件使用的都是一些常见加密操作,最终勒索的界面如下:

事实上,该勒索软件存在一个严重编码的问题,它设置很多的目录不加密,但是还是有遗漏,导致感染了系统启动关键文件,如感染了“Boot.ini”。

被感染的系统在重启后便会启动失败,提示文件丢失。如下图:

事件二过程分析

某市机构反馈出现多台设备出现蓝屏,经判定,用户主机受到臭名昭著的勒索病毒WannaCry蠕虫感染,安恒安全人员携带APT预警平台协助用户进行追踪溯源。迅速定位到受感染主机上的异常进程文件mssecsvc.exe和mssecsvr.exe,对其定位过程如下:

(1)APT检测到SMB远程命令执行成功的告警。

(2)通过对服务器端口445占用情况分析发现进程ID为8988和5376的两个进程持续异常活跃。

(3)对进程进行定位发现mssecsvc.exe和mssecsvr.exe蠕虫。

(4)通过APT预警平台对样本检测,其为17年5月份爆发的WannaCry蠕虫。此次就不再对这两个样本详细展开分析。

防护建议

(1)对于已经感染的系统

a、断开已经感染的主机系统的网络连接, 防止进一步扩散;

b、优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。

c、已经感染终端,根据终端数据重要性决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。

(2)对于未感染的系统

a、拔掉网线之后再开机启动;

b、做好重要文件的备份工作,备份与感染主机隔离;

c、对系统更新补丁。安装防病毒软件,开启防护策略,定期更新查杀;

d、对可疑邮件谨慎操作;

e、对GlobeImposter勒索软件变种利用RDP协议暴力破解系统密码方式实现传播,建议关闭非必要RDP;

f、关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的ip连接登录;

g、采用高强度的口令,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码;

h、部署安恒APT预警平台进行检测。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-02-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑

一、概述   这个周末,对于网络安全圈来说可以用“血雨腥风”来形容。北京时间5月12日开始,全球范围内爆发了基于Windows网络共享协议进行攻击传播的“永恒之...

33610
来自专栏FreeBuf

勒索之殇 | 从一个.NET病毒看透勒索三步曲

近三年的病毒走势大致可以总结为,2016年”流氓”,2017”勒索”,2018年”挖矿”,这篇文章我们就通过分析一个.Net的勒索软件,看看一个勒索软件到底是如...

2236
来自专栏机器学习算法与Python学习

诈勒索病毒席卷全球99个国家,做到这些让你免遭勒索!(最新策略)

5月12日,全球范围内99个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。其中英国的 NHS 服务受到了大规模的网络攻击,至少 40 家医疗机构内网被黑...

2805
来自专栏安恒信息

重磅 | 安恒信息“永恒之蓝”勒索病毒安全事件报告

1.背景 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控...

3308
来自专栏二次元

程序员日常中病毒系列

事情是这样的,一朋友发来源码让我看下,手残不小心点到里头的一个exe文件,弹出联网请求,我便迅速关掉,之后发现同目录多了一个伪装成系统音乐文件夹的exe可执行...

1290
来自专栏FreeBuf

WannaMine新动向:对Weblogic服务端发起大规模攻击

近日,360互联网安全中心监测到挖矿僵尸网络“WannaMine”进行了一次全面更新,目标直指使用Weblogic服务端组件的服务器。该僵尸网络使用Oracle...

3685
来自专栏腾讯云安全的专栏

刚需 |Wannacry 勒索蠕虫病毒用户修复指引

1955
来自专栏安恒信息

Bad Rabbit(坏兔子)勒索病毒预警

1. 勒索病毒基本信息 2017年10月24日,网上出现了一个新的勒索病毒Bad Rabbit(坏兔子),最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索...

3457
来自专栏Laoqi's Linux运维专列

Shell脚本配合iptables屏蔽来自某个国家的IP访问

1362
来自专栏FreeBuf

揭秘来自中国的数字货币“挖矿”军团 – Bondnet僵尸网络

最近,以色列安全公司GuardiCore发现了一个名为Bondnet的僵尸网络,该僵尸网络由数万台被控制的具备不同功率的服务器肉鸡组成。从目前的情况来看,幕后运...

22410

扫码关注云+社区