影响恶劣的GlobeImposter勒索攻击如何防？

温馨提示：GlobeImposter勒索攻击第一手分析报告，内容详尽齐全，篇幅较长，推荐大家收藏细细品读!

近日，国内某机构遭受 GlobeImposter勒索病毒攻击，导致业务相关文件被加密，对业务的连续性造成严重影响。360安全监测与响应中心、 360 威胁情报中心、360安服团队对此事件进行了紧密跟踪与分析，认为本次事件不同于普通的勒索病毒事件。

普通的勒索病毒事件一般通过邮件、水坑攻击、U盘摆渡等方式进入用户系统，由恶意代码自身的横向移动功能（比如对MS17-010漏洞的利用）在内网继续进行感染攻击。通过对本次勒索攻击事件的分析，我们发现本次攻击相对普通的勒索事件的首要区别在于攻击者在突破企业防护边界后积极进行内网渗透，绕过安全防护，并释放勒索恶意代码，具有极强的破坏性及针对性。

本次事件中，黑客从外网打开突破口后，会以工具辅助手工的方式，对内网其他机器进行渗透。黑客使用的工具主要来自一个压缩包。所使用的工具包括但不限于：

1、全功能远控木马

2、自动化添加管理员的脚本

3、内网共享扫描工具

4、Windows 密码抓取工具

5、网络嗅探、多协议暴破工具

6、浏览器密码查看工具

攻击者在打开内网突破口后，会在内网对其他主机进行口令暴破。在内网横向移动至一台新的主机后，会尝试进行包括但不限于以下操作：

1、手动或用工具卸载主机上安装的防护软件

2、下载或上传黑客工具包

3、手动启用远程控制以及勒索病毒

风险等级

360安全监测与响应中心风险评级为：高危

预警等级：蓝色预警（一般网络安全预警）

影响范围

容易受攻击组织影响的机构

本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解，在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。综上，符合以下特征的机构将更容易遭到攻击者的侵害：

1、存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

2、内网Windows终端、服务器使用相同或者少数几组口令。

3、Windows服务器、终端未部署或未及时更新杀毒软件。

处置建议

1、服务器、终端防护

1.1、所有服务器、终端应强行实施复杂密码策略，杜绝弱口令。

1.2、杜绝使用通用密码管理所有机器。

1.3、安装杀毒软件、终端安全管理软件并及时更新病毒库。

1.4、及时安装漏洞补丁。

1.5、服务器开启关键日志收集功能，为安全事件的追踪溯源提供基础。

2、网络防护与安全监测

2.1、对内网安全域进行合理划分。各个安全域之间限制严格的 ACL，限制横向移动的范围。

2.2、重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御，严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。

2.3、在网络内架设 IDS/IPS 设备，及时发现、阻断内网的横向移动行为。

2.4、在网络内架设全流量记录设备，以及发现内网的横向移动行为，并为追踪溯源提供良好的基础。

2.5、通过ACL禁止IP:54.37.65.160的出站方向访问。

3、应用系统防护及数据备份

3.1、应用系统层面，需要对应用系统进行安全渗透测试与加固，保障应用系统自身安全可控。

3.2、对业务系统及数据进行及时备份，并验证备份系统及备份数据的可用性。

3.3、建立安全灾备预案，一但核心系统遭受攻击，需要确保备份业务系统可以立即启用；同时，需要做好备份系统与主系统的安全隔离工作，辟免主系统和备份系统同时被攻击，影响业务连续性。

安全防护本身是一个动态的对抗过程，在以上安全加固措施的基础上，日常工作中，还需要加强系统使用过程的管理与网络安全状态的实时监测：

电脑中不使用不明来历的U盘、移动硬盘等存储设备；不接入公共网络，同时机构的内部网络中不运行不明来历的设备接入。

要常态化的开展安全检查和评估，及时发现安全薄弱环节，及时修补安全漏洞和安全管理机制上的不足，时刻保持系统的安全维持在一个相对较高的水平；（类似定期体检）

及时关注并跟进网络安全的技术进步，有条件的单位，可以采取新型的基于大数据的流量的监测设备并配合专业的分析服务，以便做到蠕虫病毒的第一时间发现、第一时间处置、第一时间溯源根除。

技术分析

1、勒索样本分析

1.1 样本初始化

勒索样本在运行后首先判断%LOCALAPPDATA%或%APPDATA%环境变量是否存在，如果存在则将自身复制到%LOCALAPPDATA%或%APPDATA%目录，之后将复制后的路径写入：HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck 从而实现开机启动

生成RSA私钥并使用硬编码公钥加密，之后将加密后的密文转换为ASCII码，最后将密文写入%ALLUSERSPROFILE% 变量路径中

1.2 加密流程

初始化完成后开始进入加密流程，病毒会遍历全盘，在排除样本中不加密文件夹列表后，使用随机生成的公钥加密其他所有文件，之后将之前生成的机器唯一标识写入文件末尾

排除的路径如下：:

·Windows

·Microsoft

·Microsoft Help

·Windows App Certification Kit

·Windows Defender

·ESET

·COMODO

·Windows NT

·Windows Kits

·Windows Mail

·Windows Media Player

·Windows Multimedia PlatformWindows Phone Kits

·Windows Phone Silverlight Kits

·Windows Photo Viewer

·Windows Portable Devices

·Windows Sidebar

·Windows PowerShell

·NVIDIA Corporation

·Microsoft .NET

·Internet Explorer

·Kaspersky Lab

·McAfe

·Avira

·spytech software

·sysconfig

·Avast

·DrWeb

·Symantec

·Symantec_Client_Security

·system volume information

·AVG

·Microsoft Shared

·Common Files

·Outlook Express

·Movie Maker

·Chrome

·Mozilla Firefox

·Opera

·YandexBrowser

·ntldr

·Wsus

·ProgramData

2、远控样本分析

样本为delphi编写的远控木马的Server端，包含了常见的远程控制功能及远程操作功能，中招机器可被完全控制。

2.1 环境检测

程序启动首先进行一系列环境检测，检测失败则退出进程。检测包括调试检测、调试模块检测、API hook检测、虚拟机沙箱检测等。如下所示：

1) 调试模块检测

2) 本地和远程调试调试检测

3) 检测虚拟机，通过查询“0”键，检测”VIRTUAL”字段，检测是否在VM虚拟机或者VBOX

4) 检测Cuckoo 沙箱

5) 检测WINE

6) 检测CWSandbox

7) 检测JoeBox 和 Anubis

8) 检测ShellExecuteExW是否被hook

如上的一系列检测如不通过，则退出程序

2.2 木马初始化

解密配置信息，key：PuBAanR08QJw3AjM

Copy自身至如下之一的目录，文件名aspbcn.exe

并写入启动项

完成后重新启动写入启动项的进程，并退出自身。

下载并解压sqlite模块

尝试提升权限

建立连接，IP 54.37.65.160 端口：0xCFD8，发送一些基本的系统基本信息，磁盘信息，PC名，账户信息等等至远程。

2.3 后门指令部分

进入后门命令循环，功能很全面的木马，操作包括文件相关，进程相关，服务相关，注册表相关，系统控制，屏幕截图，防火墙，DDOS攻击等。列举部分如下：

1) 一些基本指令，远控常见的如文件相关，进程相关，服务相关，注册表相关

2) 通过windows API模拟鼠标操作，控制系统

3) 获取浏览器保存的账户信息

4) Udp Flood Attack

5) TCP SYN Attack

6) 端口转发功能模块，通过端口转发可以对内网的其他不能连外网的机器进行控制

产品解决方案

1、检测方案

1.1 360天眼产品解决方案

360文件威胁鉴定器（沙箱）在默认情况下可以检测该勒索攻击事件中的远控木马和勒索软件，无需升级。请关注沙箱告警中是否包含相关告警并进行排查。

规则升级方法：请在流量探针设备上依次选择，“系统配置”-“设备升级”-“规则升级”，然后选择“在线升级”或“离线升级”。

2、防护方案

2.1 360天擎终端安全管理系统解决方案

360天擎终端安全管理系统第一时间相应该病毒，客户终端直接连接360公有云查杀模式下，无需升级病毒库即可查杀该病毒。

终端无法连接360公有云查杀模式下，需要先升级控制台病毒库版本，终端会自动同步控制台最新病毒库。控制台病毒库版本号显示不小于：2018-02-23。

同时，针对纯隔离网环境，可以通过隔离网工具升级控制台病毒库版本。

2.2 360虚拟化安全产品解决方案

2.2.1 虚拟化安全检测防护建议

1) 建议安装部署虚拟化安全防护系统；

2) 结合虚拟化安全防护系统对全网主机进行安全评估（包括弱口令检测、漏洞检测、病毒扫描、系统配置脆弱性检测等）；

2.2.2 虚拟化安全主机安全防护措施

2.2.3 虚拟化安全防护策略

第一部分：360虚拟化安全管理系统（轻代理）7.0配置方法

系统进行网络隔离(针对已感染设备)

配置方法：使用虚拟化安全（轻代理）防火墙功能对已感染设备进行隔离，使用该功能需有防火墙功能模块授权。

1) 将已感染设备进行分组操作

2) 编辑防火墙策略模板

3) 在主机策略-分组策略中，针对已感染设备分组，启用防火墙功能并下发防火墙策略模板

开启病毒实时防护并清除病毒操作并(针对已感染设备)

配置方法：使用虚拟化安全（轻代理）病毒查杀功能清除已感染的勒索病毒，使用该功能需有防病毒功能模块授权。

1) 在主机策略-分组策略页面，针对受感染主机的分组，开启实时防护功能，并自定义实时防护相关设置。

2) 对已感染设备下发全盘扫描任务

建议：若发现系统文件或可执行程序被感染，建议查杀病毒后根据业务情况安排变更重启，重启前请做好相关备份工作。

3) 在公网的环境下，云查配置方式：

当客户端可连接公网时，选择“直接连接360网神云安全鉴定中心”

当控制中心可以连接公网，客户端不可连接公网时，可选择“通过控制中心代理连接到360网神云安全鉴定中心”

4) 隔离网环境下建议开启增强版杀毒引擎（测试授权需申请增强版防病毒模块）

开启防爆力破解实时防护

配置方法：使用虚拟化安全（轻代理）防爆力破解功能进行实时防护，使用该功能需有防爆力破解功能模块授权

1) 在主机策略-分组策略中，针对受感染主机分组，编辑防爆力破解规则

2) 支持自定义防爆力破解IP白名单及IP 黑名单

修复系统配置缺陷，关闭不必要服务（如关闭默认共享、远程桌面等），如必须启动常规有风险的服务，建议修改默认端口

配置方法：使用虚拟化安全（轻代理）安全基线功能检测系统配置，并修复系统配置缺陷，使用该功能需有安全基线功能模块授权

1) 在主机管理-安全基线页面，针对受感染分组主机进行安全扫描；

2) 扫描完成后针对受感染分组主机进行系统修复

更新病毒库至最新版本

配置方法：使用虚拟化安全（轻代理）升级管理及升级设置功能

1) 当控制中心可以连接公网时的病毒库升级配置

可自定义配置“自动将控制中心的主程序、病毒库、webshell引擎更新至最新版本”、“自动将主机的病毒库、webshell引擎升级至最新版本”

2) 隔离网环境下的病毒库升级

方法一：检查虚拟化安全控制台病毒库版本，在公网http://cloud.b.360.cn/下载最新的病毒库安装包并导入控制台后，升级各终端病毒库至最新版本。

注：若已开通增强版防病毒引擎，请使用windows 病毒库增强版及Linux 病毒库增强版更新包更新。

方法二：当控制中心无法连接公网时，可配置HTTP代理服务器升级控制中心病毒库

方法三：使用离线升级工具进行升级，离线升级工具使用说明文档请见离线升级工具安装包。

第二部分：360虚拟化安全管理系统（轻代理）V6.1配置方法

系统进行网络隔离(针对已感染设备)

配置方法：使用虚拟化安全（轻代理）防火墙功能对已感染设备进行隔离，使用该功能需有防火墙功能模块授权。

1) 将已感染设备进行分组操作

2) 开启终端防火墙模块并编辑防火墙策略模板

3) 在主机策略-分组策略中，针对已感染设备分组，启用防火墙功能并下发防火墙策略模板

开启病毒实时防护并清除病毒操作并(针对已感染设备)

配置方法：使用虚拟化安全（轻代理）病毒查杀功能清除已感染的勒索病毒

1) 在主机策略-分组策略页面，针对受感染主机的分组，开启实时防护功能，并自定义实时防护相关设置，使用该功能需有防病毒功能模块授权。

2) 对已感染设备下发全盘扫描任务

建议：若发现系统文件或可执行程序被感染，建议查杀病毒后根据业务情况安排变更重启，重启前请做好相关备份工作。

3) 在公网的环境下，云查配置方式：

当控制中心与客户端都可连接公网时，选择“直接连接360网神云安全鉴定中心”

当控制中心可以连接公网，客户端不可连接公网时，可选择“通过控制中心代理连接到360网神云安全鉴定中心”

更新病毒库至最新版本

配置方法：使用虚拟化安全（轻代理）升级管理及升级设置功能

1) 当控制中心可以连接公网时的病毒库升级配置

可自定义配置病毒库更新时间，且可手动触发实时更新

2) 隔离网环境下的病毒库升级

场景一：当控制中心无法连接公网时，可配置HTTP代理服务器升级控制台病毒库版本

场景二：当终端无法连接公网时，可配置代理服务器升级终端病毒库版本

场景三：使用离线升级工具进行升级，离线升级工具使用说明文档请见离线升级工具安装包。

第三部分 360虚拟化安全管理系统（无代理）V6.1、V7.0版本配置方法

确保恶意软件实时防护处于开启状态，若发现病毒即时进行隔离、删除处理

1) 打开实时防护： 如果打开实时防护 ，应用该安全配置的虚拟机将受到实时的防恶意软件防护

2) 恶意软件处理：如果在虚拟机中检测到病毒，进行隔离、删除处理

隔离：将恶意软件移到隔离区

删除：将恶意软件永久删除

清除病毒：针对已感染设备，进行全盘扫描发现病毒及时处理（已配备策略）

定期扫描，预防风险：建议选择在空余时间如下班等业务流量较少的时段对虚拟机进行全盘扫描。

注：只有虚拟机为开启状态才会进行定期扫描

更新病毒特征库、网络特征库至最新版

主机会每小时检查下载新的特征库，如果防护系统安装在一个封闭的私有网络，管理员需要手动在管理中心上传更新特征库。如果防护系统可以访问外网，系统会自动更新特征库。如果需要使用HTTP 代理，请在管理->系统设置页面填写正确的代理服务器信息。

做好数据备份恢复

支持备份管理中心相关的配置文件，如安全策略、匹配规则、用户、角色等。

支持上传备份文件并恢复配置，恢复过程中会重启管理中心相关进程。

点击“创建备份”，会将管理中心相关配置文件打包生成名称为ICS-CFG-year-month-day-hour-minute-seconds.tgz的文件。

点击“上传配置”，能够将配置上传至管理中心对应目录并应用该配置。

设置警报规则，第一时间发现威胁，处理勒索病毒

用户可以自定义，哪些警报规则需要发送警报邮件通知管理员。没有配置SMTP参数情况下，“发送警报邮件“栏不可编辑。

开启入侵防御 ，抵御应用程序漏洞、病毒和恶意网络通信的攻击。

系统默认根据“适用操作系统”来显示对应的入侵防御规则：例如，适用操作系统为”windows”时，入侵防御规则页面会显示windows下的入侵防御规则。

在入侵防御页面可以根据安全等级选取所有的入侵防御规则。

点击列表中的规则名称，可以打开“入侵防御规则信息”对话框，查看详细的信息。

2.3 360天堤产品解决方案