影响恶劣的GlobeImposter勒索攻击应如何防御？

近日，国内某机构遭受 GlobeImposter勒索病毒攻击，导致业务相关文件被加密，对业务的连续性造成严重影响。安全监测与响应中心、 威胁情报中心、安全团队对此事件进行了紧密跟踪与分析，认为本次事件不同于普通的勒索病毒事件。

普通的勒索病毒事件一般通过邮件、水坑攻击、U盘摆渡等方式进入用户系统，由恶意代码自身的横向移动功能（比如对MS17-010漏洞的利用）在内网继续进行感染攻击。通过对本次勒索攻击事件的分析，我们发现本次攻击相对普通的勒索事件的首要区别在于攻击者在突破企业防护边界后积极进行内网渗透，绕过安全防护，并释放勒索恶意代码，具有极强的破坏性及针对性。

本次事件中，黑客从外网打开突破口后，会以工具辅助手工的方式，对内网其他机器进行渗透。黑客使用的工具主要来自一个压缩包。所使用的工具包括但不限于：

1、全功能远控木马

2、自动化添加管理员的脚本

3、内网共享扫描工具

4、Windows 密码抓取工具

5、网络嗅探、多协议暴破工具

6、浏览器密码查看工具

攻击者在打开内网突破口后，会在内网对其他主机进行口令暴破。在内网横向移动至一台新的主机后，会尝试进行包括但不限于以下操作：

1、手动或用工具卸载主机上安装的防护软件

2、下载或上传黑客工具包

3、手动启用远程控制以及勒索病毒

风险等级

安全监测与响应中心风险评级为：高危

预警等级：蓝色预警（一般网络安全预警）

影响范围

容易受攻击组织影响的机构

本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解，在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。综上，符合以下特征的机构将更容易遭到攻击者的侵害：

1、存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

2、内网Windows终端、服务器使用相同或者少数几组口令。

3、Windows服务器、终端未部署或未及时更新杀毒软件。

处置建议

1、服务器、终端防护

1.1、所有服务器、终端应强行实施复杂密码策略，杜绝弱口令。

1.2、杜绝使用通用密码管理所有机器。

1.3、安装杀毒软件、终端安全管理软件并及时更新病毒库。

1.4、及时安装漏洞补丁。

1.5、服务器开启关键日志收集功能，为安全事件的追踪溯源提供基础。

2、网络防护与安全监测

2.1、对内网安全域进行合理划分。各个安全域之间限制严格的 ACL，限制横向移动的范围。

2.2、重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御，严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。

2.3、在网络内架设 IDS/IPS 设备，及时发现、阻断内网的横向移动行为。

2.4、在网络内架设全流量记录设备，以及发现内网的横向移动行为，并为追踪溯源提供良好的基础。

2.5、通过ACL禁止IP:54.37.65.160的出站方向访问。

3、应用系统防护及数据备份

3.1、应用系统层面，需要对应用系统进行安全渗透测试与加固，保障应用系统自身安全可控。

3.2、对业务系统及数据进行及时备份，并验证备份系统及备份数据的可用性。

3.3、建立安全灾备预案，一但核心系统遭受攻击，需要确保备份业务系统可以立即启用；同时，需要做好备份系统与主系统的安全隔离工作，辟免主系统和备份系统同时被攻击，影响业务连续性。

安全防护本身是一个动态的对抗过程，在以上安全加固措施的基础上，日常工作中，还需要加强系统使用过程的管理与网络安全状态的实时监测：

电脑中不使用不明来历的U盘、移动硬盘等存储设备；不接入公共网络，同时机构的内部网络中不运行不明来历的设备接入。

要常态化的开展安全检查和评估，及时发现安全薄弱环节，及时修补安全漏洞和安全管理机制上的不足，时刻保持系统的安全维持在一个相对较高的水平；（类似定期体检）

及时关注并跟进网络安全的技术进步，有条件的单位，可以采取新型的基于大数据的流量的监测设备并配合专业的分析服务，以便做到蠕虫病毒的第一时间发现、第一时间处置、第一时间溯源根除。

技术分析

1、勒索样本分析

1.1 样本初始化

勒索样本在运行后首先判断%LOCALAPPDATA%或%APPDATA%环境变量是否存在，如果存在则将自身复制到%LOCALAPPDATA%或%APPDATA%目录，之后将复制后的路径写入：HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck 从而实现开机启动

生成RSA私钥并使用硬编码公钥加密，之后将加密后的密文转换为ASCII码，最后将密文写入%ALLUSERSPROFILE% 变量路径中

1.2 加密流程

初始化完成后开始进入加密流程，病毒会遍历全盘，在排除样本中不加密文件夹列表后，使用随机生成的公钥加密其他所有文件，之后将之前生成的机器唯一标识写入文件末尾

排除的路径如下：:

2、远控样本分析

样本为delphi编写的远控木马的Server端，包含了常见的远程控制功能及远程操作功能，中招机器可被完全控制。

2.1环境检测

程序启动首先进行一系列环境检测，检测失败则退出进程。检测包括调试检测、调试模块检测、API hook检测、虚拟机沙箱检测等。如下所示：

1) 调试模块检测

2) 本地和远程调试调试检测

3) 检测虚拟机，通过查询“0”键，检测”VIRTUAL”字段，检测是否在VM虚拟机或者VBOX

4) 检测Cuckoo 沙箱

5) 检测WINE

6) 检测CWSandbox

7) 检测JoeBox 和 Anubis

8) 检测ShellExecuteExW是否被hook

如上的一系列检测如不通过，则退出程序

2.2木马初始化

解密配置信息，key：PuBAanR08QJw3AjM

Copy自身至如下之一的目录，文件名aspbcn.exe

并写入启动项

完成后重新启动写入启动项的进程，并退出自身。

下载并解压sqlite模块

尝试提升权限

建立连接，IP 54.37.65.160 端口：0xCFD8，发送一些基本的系统基本信息，磁盘信息，PC名，账户信息等等至远程。

2.3 后门指令部分

进入后门命令循环，功能很全面的木马，操作包括文件相关，进程相关，服务相关，注册表相关，系统控制，屏幕截图，防火墙，DDOS攻击等。列举部分如下：

1) 一些基本指令，远控常见的如文件相关，进程相关，服务相关，注册表相关

2) 通过windows API模拟鼠标操作，控制系统

3) 获取浏览器保存的账户信息

4) Udp Flood Attack

5) TCP SYN Attack

6) 端口转发功能模块，通过端口转发可以对内网的其他不能连外网的机器进行控制