DEADMIN LOCKER勒索病毒預警：黑客攜帶全套工具內網橫行

背景

近日，深信服安全團隊捕獲到針對國內企業的新型勒索病毒攻擊事件，攻擊者通過爆破獲得跳板機許可權後，利用全套黑客工具包對內網主機進行滲透，人工投放勒索病毒進行加密，該勒索病毒加密郵箱與字尾為硬編碼的字串“.[DeAdmin@cock.li].DEADMIN”，並在勒索資訊檔案中自命名為DEADMIN LOCKER，該勒索暫無公開解密工具。

在被勒索的主機上獲取到攻擊者留下的全套黑客工具包，包含從密碼收集到遠端登入等一系列內網滲透工具，可謂是一應俱全，其中包含較為小眾的AutoMIMI、Lazy、rdp_con、gmer等工具，甚至包含名為!RDP的快捷方式，用於啟動本地遠端桌面連線：

密碼抓取：AutoMIMI、mimi、netpass64.exe、Lazy

內網掃描：masscan、!PortScan、Advanced_Port_Scanner、NetworkShare

密碼爆破：NLBrute遠端工具：psexec、!RDP、rdp_con

反殺軟工具：gmer、PCHunter64、PowerTool、PowerTool_64、ProcessHacker64

入侵溯源分析案例

1.在捕獲的某次攻擊事件中，安全專家對多臺加密主機的安全日誌進行了分析排查，發現其中主機在勒索資訊檔案生成的時間節點，都存在內網某臺主機（後文稱為跳板機）的登入記錄：

2.於是將調查的目標轉向了跳板機，使用everything進行搜尋排查，在該主機上發現了攻擊者留下的工具包，其中包含大量內網掃描和遠端工具：

3.根據跳板機的勒索資訊生成時間，對安全日誌進行分析，在安全日誌中排查到一個公網IP：92.246.76.125，在深信服威脅情報中該IP被標記為惡意：

4.在這之前，跳板機一直有遭到外網發起的爆破攻擊，並且在日誌中找到了十餘個成功登陸的IP地址，其中大部分根據威脅情報判斷為惡意IP，由此看來，該主機早淪為黑產的攻擊目標：

滲透工具分析

本地模擬還原黑客內網滲透行為畫像：

1. 本地提權後，使用mimikatz抓取主機密碼，黑客也寫了個自動化指令碼launch.vbs來簡化抓取密碼的步驟。

2. 黑客將抓取到的密碼加入後續的爆破字典中，原因是管理員一般會將多個伺服器的密碼設定成相同的，將本機密碼加入字典，可以增大爆破的成功率。

3. 使用埠掃描器掃描內網中存活的IP，並篩選開放了445和3389埠的主機。

4. 對於開放了3389埠的主機，黑客直接使用NLBrute進行爆破使用者名稱和密碼。

5. 對於只開放了445埠的主機，黑客會首先會通過爆破的方式獲取這些主機的賬號密碼。

6. 然後使用psexec上傳一個指令碼至目標主機並執行，開啟RDP服務。

7. 獲取到以上爆破成功的主機後，就可以使用rdp_con工具來批量連線了。

RDP連線到受害主機後，黑客就會上傳一系列反殺軟工具，關閉防毒軟體，最後執行勒索病毒進行勒索，至此，整個勒索入侵的流程就完成了。

勒索病毒詳細分析

1.勒索病毒檔案使用UPX加殼，執行後首先呼叫了Winexec執行命令列刪除磁碟卷影，用於防止使用者恢復資料：

2.關閉以下服務，避免影響加密：

vmickvpexchange、vmicguestinterface、vmicshutdown、vmicheartbeat、vmicrdv、storflt、vmictimesync、vmicvss、MSSQLFDLauncher、MSSQLSERVER、SQLSERVERAGENT、SQLBrowser、SQLTELEMETRY、MsDtsServer130、SSISTELEMETRY130、SQLWriter、MSSQL、SQLAgent、MSSQLServerADHelper100、MSSQLServerOLAPService、MsDtsServer100、ReportServer、TMBMServer、postgresql-x64-9.4、UniFi、vmms、sql-x64-9.4、UniFi、vmms

3.遍歷程式，結束下列程式，防止程式佔用檔案影響加密：

sqlbrowser.exe、sqlwriter.exe、sqlservr.exe、msmdsrv.exe、MsDtsSrvr.exe、sqlceip.exe、fdlauncher.exe、Ssms.exe、sqlserv.exe、oracle.exe、ntdbsmgr.exe、ReportingServecesService.exe、fdhost.exe、SQLAGENT.exe、ReportingServicesService.exe、msftesql.exe、pg_ctl.exe、postgres.exe、UniFi.exe、sqlagent.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesctopservice.exe、ocautoupds.exe、agntsvc.exe、agntsvc.exe、agntsvc.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、erbird.exe、visio.exe、winword.exe、wordpad.exe

4.生成祕鑰，使用RSA演算法加密AES祕鑰，再使用AES演算法加密檔案：

5.首先在桌面建立一個勒索資訊TXT檔案，然後遍歷加密時在每個根目錄下釋放一個勒索資訊TXT檔案：

6.遍歷磁碟進行加密，並且對C盤下的目錄單獨進行判斷，跳過系統目錄：

7.加密完成後進行自刪除：

解決方案

針對已經出現勒索現象的使用者，由於暫時沒有解密工具，建議儘快對感染主機進行斷網隔離。深信服提醒廣大使用者儘快做好病毒檢測與防禦措施，防範該病毒家族的勒索攻擊。

 病毒檢測查殺

1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力，部署相關產品使用者可進行病毒檢測，如圖所示：

2、深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺。

64位系統下載連結：http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 病毒防禦

1、及時給電腦打補丁，修復漏洞；

2、對重要的資料檔案定期進行非本地備份；

3、不要點選來源不明的郵件附件，不從不明網站下載軟體；

4、儘量關閉不必要的檔案共享許可權；

5、更改賬戶密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃；

6、如果業務上無需使用RDP的，建議關閉RDP；

7、當出現此類事件時，推薦使用深信服防火牆，或者終端檢測響應平臺（EDR）的微隔離功能對3389等埠進行封堵，防止擴散；

8、深信服防火牆、終端檢測響應平臺（EDR）均有防爆破功能，防火牆開啟此功能並啟用11080051、11080027、11080016規則，EDR開啟防爆破功能可進行防禦；

9、深信服防火牆客戶，建議升級到AF805版本，並開啟人工智慧引擎Save，以達到最好的防禦效果；

10、深信服終端檢測響應平臺（EDR）支援識別市面上大多數的流行黑客工具，並具備主動攔截和禁止執行功能；深信服EDR客戶，建議開啟勒索防護功能，精準攔截勒索病毒；

11、使用深信服安全產品，接入安全雲腦，使用雲查服務可以即時檢測防禦新威脅；

12、深信服推出安全運營服務，通過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力，針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

最後，建議企業對全網進行一次安全檢查和防毒掃描，加強防護工作。推薦使用深信服安全感知+防火牆+EDR，對內網進行感知、查殺和防護。