干货 | GlobeImposter家族的勒索样本分析过程

概述

近日来,安恒安全人员频繁接到用户单位服务器受到勒索病毒攻击,其中某医疗机构出现几十台设备蓝屏和数台设备被感染。经过分析判定感染设备的勒索软件是GlobeImposter家族的新变种。变种病毒样本通常使用包含混淆的JaveScript脚本的邮件传播,加密系统文件并对用户实行支付方式的勒索。将加密文件重命名为.TRUE/.TECHNO/.CHAK/.LIN/.GOTHAM等扩展名。由于GlobeImposter家族使用的算法复杂,解密非常困难。

经过安恒APT预警平台分析定位,此次勒索病毒黑客除了使用GlobeImposter家族的新变种对服务器进行加密实现勒索外,同时黑客还持续使用WannaCry进行勒索。

事件分析

事件一过程分析

经分析发现,用户出现的勒索病毒是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.TRUE/.TECHNO等扩展名。以下为对此次GlobeImposter家族的勒索样本分析过程:

首先它会解密加密排除目录和加密所使用的后缀名称:

动态进行调试时能解密这些目录,如:Windows、Microsoft等目录

接着拷贝到系统目录并设置为自启动:

接着使用CryptGenRandom随机生成的密钥对系统文件进行加密。

加密文件使用的都是一些常见加密操作,最终勒索的界面如下:

事实上,该勒索软件存在一个严重编码的问题,它设置很多的目录不加密,但是还是有遗漏,导致感染了系统启动关键文件,如感染了“Boot.ini”。

被感染的系统在重启后便会启动失败,提示文件丢失。如下图:

事件二过程分析

某市机构反馈出现多台设备出现蓝屏,经判定,用户主机受到臭名昭著的勒索病毒WannaCry蠕虫感染,安恒安全人员携带APT预警平台协助用户进行追踪溯源。迅速定位到受感染主机上的异常进程文件mssecsvc.exe和mssecsvr.exe,对其定位过程如下:

(1)APT检测到SMB远程命令执行成功的告警。

(2)通过对服务器端口445占用情况分析发现进程ID为8988和5376的两个进程持续异常活跃。

(3)对进程进行定位发现mssecsvc.exe和mssecsvr.exe蠕虫。

(4)通过APT预警平台对样本检测,其为17年5月份爆发的WannaCry蠕虫。此次就不再对这两个样本详细展开分析。

防护建议

(1)对于已经感染的系统

a、断开已经感染的主机系统的网络连接, 防止进一步扩散;

b、优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。

c、已经感染终端,根据终端数据重要性决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。

(2)对于未感染的系统

a、拔掉网线之后再开机启动;

b、做好重要文件的备份工作,备份与感染主机隔离;

c、对系统更新补丁。安装防病毒软件,开启防护策略,定期更新查杀;

d、对可疑邮件谨慎操作;

e、对GlobeImposter勒索软件变种利用RDP协议暴力破解系统密码方式实现传播,建议关闭非必要RDP;

f、关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的ip连接登录;

g、采用高强度的口令,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码;

h、部署安恒APT预警平台进行检测。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-02-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

WannaMine新动向:对Weblogic服务端发起大规模攻击

近日,360互联网安全中心监测到挖矿僵尸网络“WannaMine”进行了一次全面更新,目标直指使用Weblogic服务端组件的服务器。该僵尸网络使用Oracle...

40250
来自专栏安恒信息

Bad Rabbit(坏兔子)勒索病毒预警

1. 勒索病毒基本信息 2017年10月24日,网上出现了一个新的勒索病毒Bad Rabbit(坏兔子),最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索...

36370
来自专栏Laoqi's Linux运维专列

Shell脚本配合iptables屏蔽来自某个国家的IP访问

17720
来自专栏FreeBuf

勒索之殇 | 从一个.NET病毒看透勒索三步曲

近三年的病毒走势大致可以总结为,2016年”流氓”,2017”勒索”,2018年”挖矿”,这篇文章我们就通过分析一个.Net的勒索软件,看看一个勒索软件到底是如...

24360
来自专栏安恒信息

不容错过 | “永恒之蓝”勒索病毒安全处置FAQ

病毒相关 Q 为什么此次勒索病毒“永恒之蓝”感染人数如此之多? A 此次勒索软件利用了NSA黑客武器库泄漏的“永恒之蓝”工具进行网络感染,只要是Windows ...

36590
来自专栏安恒信息

重磅 | 安恒信息“永恒之蓝”勒索病毒安全事件报告

1.背景 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控...

36280
来自专栏FreeBuf

揭秘银行木马Chthonic:网银大盗ZeuS的最新变种

说到Zeus/Zbot,做安全多多少少都会有所了解。Zeus是对金融系统威胁最大的僵尸网络之一,控制者借助僵尸程序窃取账户登录信息和信用卡号码。Zbot往往通过...

19970
来自专栏FreeBuf

漫谈攻击链:从WebShell到域控的奇妙之旅

做渗透测试时遇到的域环境经常就是要么太复杂我们搞不定,要么太简单进去就拿到域控没啥意思,这些显然都无法满足我们实践已掌握知识的刚需。同时为了给我们道格安全技术小...

25550
来自专栏赵俊的Java专栏

Nginx 配置 HTTPS 强制跳转到 HTTP

2.6K40
来自专栏游戏杂谈

itunes connect 沙盒帐号地区的问题导致无法进行充值

项目代理给台湾发行,版本由项目提交appstore,台湾合作伙伴会进行测试。这里遇到一个问题,就是沙盒帐号测试的时候死活提示充值失败,不走正常的充值流程。

13010

扫码关注云+社区

领取腾讯云代金券