DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行

深信服千里目發表於2019-10-17

背景


近日,深信服安全團隊捕獲到針對國內企業的新型勒索病毒攻擊事件,攻擊者通過爆破獲得跳板機許可權後,利用全套黑客工具包對內網主機進行滲透,人工投放勒索病毒進行加密,該勒索病毒加密郵箱與字尾為硬編碼的字串“.[DeAdmin@cock.li].DEADMIN”,並在勒索資訊檔案中自命名為DEADMIN LOCKER,該勒索暫無公開解密工具。

DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


在被勒索的主機上獲取到攻擊者留下的全套黑客工具包,包含從密碼收集到遠端登入等一系列內網滲透工具,可謂是一應俱全,其中包含較為小眾的AutoMIMI、Lazy、rdp_con、gmer等工具,甚至包含名為!RDP的快捷方式,用於啟動本地遠端桌面連線:


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


密碼抓取:AutoMIMI、mimi、netpass64.exe、Lazy

內網掃描:masscan、!PortScan、Advanced_Port_Scanner、NetworkShare

密碼爆破:NLBrute遠端工具:psexec、!RDP、rdp_con

反殺軟工具:gmer、PCHunter64、PowerTool、PowerTool_64、ProcessHacker64


入侵溯源分析案例


1.在捕獲的某次攻擊事件中,安全專家對多臺加密主機的安全日誌進行了分析排查,發現其中主機在勒索資訊檔案生成的時間節點,都存在內網某臺主機(後文稱為跳板機)的登入記錄:


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


2.於是將調查的目標轉向了跳板機,使用everything進行搜尋排查,在該主機上發現了攻擊者留下的工具包,其中包含大量內網掃描和遠端工具:


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行

3.根據跳板機的勒索資訊生成時間,對安全日誌進行分析,在安全日誌中排查到一個公網IP:92.246.76.125,在深信服威脅情報中該IP被標記為惡意:


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


4.在這之前,跳板機一直有遭到外網發起的爆破攻擊,並且在日誌中找到了十餘個成功登陸的IP地址,其中大部分根據威脅情報判斷為惡意IP,由此看來,該主機早淪為黑產的攻擊目標:


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


滲透工具分析


本地模擬還原黑客內網滲透行為畫像:

1. 本地提權後,使用mimikatz抓取主機密碼,黑客也寫了個自動化指令碼launch.vbs來簡化抓取密碼的步驟。


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行

2. 黑客將抓取到的密碼加入後續的爆破字典中,原因是管理員一般會將多個伺服器的密碼設定成相同的,將本機密碼加入字典,可以增大爆破的成功率。


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


3. 使用埠掃描器掃描內網中存活的IP,並篩選開放了445和3389埠的主機。


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


4. 對於開放了3389埠的主機,黑客直接使用NLBrute進行爆破使用者名稱和密碼。


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


5. 對於只開放了445埠的主機,黑客會首先會通過爆破的方式獲取這些主機的賬號密碼。


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


6. 然後使用psexec上傳一個指令碼至目標主機並執行,開啟RDP服務。


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


7. 獲取到以上爆破成功的主機後,就可以使用rdp_con工具來批量連線了。


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行

RDP連線到受害主機後,黑客就會上傳一系列反殺軟工具,關閉防毒軟體,最後執行勒索病毒進行勒索,至此,整個勒索入侵的流程就完成了。

勒索病毒詳細分析


1.勒索病毒檔案使用UPX加殼,執行後首先呼叫了Winexec執行命令列刪除磁碟卷影,用於防止使用者恢復資料:


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


2.關閉以下服務,避免影響加密:

vmickvpexchange、vmicguestinterface、vmicshutdown、vmicheartbeat、vmicrdv、storflt、vmictimesync、vmicvss、MSSQLFDLauncher、MSSQLSERVER、SQLSERVERAGENT、SQLBrowser、SQLTELEMETRY、MsDtsServer130、SSISTELEMETRY130、SQLWriter、MSSQL、SQLAgent、MSSQLServerADHelper100、MSSQLServerOLAPService、MsDtsServer100、ReportServer、TMBMServer、postgresql-x64-9.4、UniFi、vmms、sql-x64-9.4、UniFi、vmms


3.遍歷程式,結束下列程式,防止程式佔用檔案影響加密:

sqlbrowser.exe、sqlwriter.exe、sqlservr.exe、msmdsrv.exe、MsDtsSrvr.exe、sqlceip.exe、fdlauncher.exe、Ssms.exe、sqlserv.exe、oracle.exe、ntdbsmgr.exe、ReportingServecesService.exe、fdhost.exe、SQLAGENT.exe、ReportingServicesService.exe、msftesql.exe、pg_ctl.exe、postgres.exe、UniFi.exe、sqlagent.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesctopservice.exe、ocautoupds.exe、agntsvc.exe、agntsvc.exe、agntsvc.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、erbird.exe、visio.exe、winword.exe、wordpad.exe


4.生成祕鑰,使用RSA演算法加密AES祕鑰,再使用AES演算法加密檔案:


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


5.首先在桌面建立一個勒索資訊TXT檔案,然後遍歷加密時在每個根目錄下釋放一個勒索資訊TXT檔案:


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


6.遍歷磁碟進行加密,並且對C盤下的目錄單獨進行判斷,跳過系統目錄:


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行


7.加密完成後進行自刪除:


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行

解決方案


針對已經出現勒索現象的使用者,由於暫時沒有解密工具,建議儘快對感染主機進行斷網隔離。深信服提醒廣大使用者儘快做好病毒檢測與防禦措施,防範該病毒家族的勒索攻擊。


 病毒檢測查殺


1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:

DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行

2、深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載連結:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z


 病毒防禦


1、及時給電腦打補丁,修復漏洞;

2、對重要的資料檔案定期進行非本地備份;

3、不要點選來源不明的郵件附件,不從不明網站下載軟體;

4、儘量關閉不必要的檔案共享許可權;

5、更改賬戶密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃;

6、如果業務上無需使用RDP的,建議關閉RDP;

7、當出現此類事件時,推薦使用深信服防火牆,或者終端檢測響應平臺(EDR)的微隔離功能對3389等埠進行封堵,防止擴散;

8、深信服防火牆、終端檢測響應平臺(EDR)均有防爆破功能,防火牆開啟此功能並啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防禦;

9、深信服防火牆客戶,建議升級到AF805版本,並開啟人工智慧引擎Save,以達到最好的防禦效果;

10、深信服終端檢測響應平臺(EDR)支援識別市面上大多數的流行黑客工具,並具備主動攔截和禁止執行功能;深信服EDR客戶,建議開啟勒索防護功能,精準攔截勒索病毒;

11、使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅;

12、深信服推出安全運營服務,通過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力,針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

最後,建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。推薦使用深信服安全感知+防火牆+EDR,對內網進行感知、查殺和防護。


DEADMIN LOCKER勒索病毒預警:黑客攜帶全套工具內網橫行

相關文章