MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦

深信服千里目發表於2019-10-23

前言

近日,一個叫MedusaLocker的勒索病毒在國外安全圈被炒的沸沸揚揚,原因是該病毒的多個版本被洩露了出來,其中包括了駭客開發過程中的Debug版本。近期,深信服藉助強大的威脅情報來源,觀察到菲律賓等東南亞國家,及國內不少企業接連中了該病毒,有持續爆發的趨勢,深信服安全團隊對該病毒進行追蹤,實現檢測與防禦。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


正常情況下,為了防止被追蹤,駭客分發惡意軟體之前,都會對敏感資訊進行抹除的,而這個Debug版本的MedusaLocker,很有可能是駭客在開發過程中不慎洩露的,Debug版本包含了較多的樣本資訊,我們可以透過研究它,制定有效的檢測防禦方案。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


由於Twitter上沒有公佈該樣本的MD5,只好在VT上根據關鍵字進行搜尋,最後篩選出兩個相關樣本,根據發現的時間排序,第二個樣本很可能就是提前洩露的Debug版本。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


本地執行該樣本,主機檔案被加密成”.skynet”,同時生成了以下勒索提示檔案”Readme.html”。仔細一看“Your files are encrypted”和“Attention”的關鍵字,跟Globelmposter病毒非常相似,不排除作者有模仿Globelmposter的可能。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


可能樣本是Debug版本的原因,執行時會自動列印除錯資訊,根據資訊,可以大致得知病毒的工作流程如下:

提權->初始化加密演算法->釋放勒索提示檔案->新增自啟動->清除資料庫、殺軟程式->刪除卷影備份->掃描遍歷檔案加密

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦

檢測


使用IDA開啟該樣本,會發現樣本攜帶了PDB資訊,透過提取PDB資訊的特徵,可以實現對MedusaLocker家族變種的識別。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


PE檔案中的PDB資訊是什麼,有什麼用呢?它的主要功能是記錄工程中PDB檔案的路徑,存放在PE檔案的IMAGE_DEBUG_TYPE_CDEVIEW欄位,編譯器透過讀取這個欄位的值,就可以找到PDB檔案並進行相關資訊的載入。我們從該路徑中可以發現這個駭客名為Gh0St,工程的路徑也帶有明確的MedusaLocker字串。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


PDB路徑欄位的格式如下,以“/RSDS”標識開頭,根據以下格式,就可以輕鬆的編寫出Medusalocker的yara規則。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


PDB資訊都是以明文的方式進行儲存,透過檢測PDB特徵字串,可以高效地檢出該病毒家族的不同變種。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


這種基於PDB資訊的檢測技術之前國外安全廠商FireEye有所介紹,他們整理了許多可疑的PDB字串規則進行檢測,已成功捕獲到多個新型的惡意軟體樣本。

然而,這種檢測方法還是有所侷限的,大部分情況,駭客在分發惡意軟體之前,都會使用工具對PDB資訊進行抹除,所以,除了一些被提前洩露的Debug程式,大部分樣本都是沒有PDB資訊的。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


抹除PDB資訊的原理很簡單,將其中的PDB路徑覆蓋為0,或直接刪除IMAGE_DEBUG_TYOE_CODEVIEW欄位。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


透過這種方法,在網上找到了Release版本的MedusaLocker樣本。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦


Release版本與Debug版本的病毒邏輯基本一致,只是少了除錯程式碼,但加密字尾以及勒索提示檔案則截然不同,加密字尾變成了”.encrypted”,勒索提示檔名為”HOW_TO_RECOVER_DATA.html”,且畫風也有很大改觀,在右下角新增了個醒目的鳥人標誌。

MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦

防禦

 病毒檢測查殺

1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:


MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦

2、深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載連結:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z


 病毒防禦

1、及時給電腦打補丁,修復漏洞;

2、對重要的資料檔案定期進行非本地備份;

3、不要點選來源不明的郵件附件,不從不明網站下載軟體;

4、儘量關閉不必要的檔案共享許可權;

5、更改賬戶密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃;

6、如果業務上無需使用RDP的,建議關閉RDP;

7、當出現此類事件時,推薦使用深信服防火牆,或者終端檢測響應平臺(EDR)的微隔離功能對3389等埠進行封堵,防止擴散;

8、深信服防火牆、終端檢測響應平臺(EDR)均有防爆破功能,防火牆開啟此功能並啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防禦;

9、深信服防火牆客戶,建議升級到AF805版本,並開啟人工智慧引擎Save,以達到最好的防禦效果;

10、深信服終端檢測響應平臺(EDR)支援識別市面上大多數的流行駭客工具,並具備主動攔截和禁止執行功能;深信服EDR客戶,建議開啟勒索防護功能,精準攔截勒索病毒;

11、使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅;

12、深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力,針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。


最後,建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。推薦使用深信服安全感知+防火牆+EDR,對內網進行感知、查殺和防護。

相關文章