背景概述

近日，深信服安全團隊捕獲到一起利用MSSQL暴力破解投放勒索病毒的攻擊事件，攻擊者透過MSSQL的xp_cmdshell執行系統命令，從C&C伺服器下載並執行勒索病毒。執行的相關命令如下：

 

 

經安全專家分析，攻擊者所使用的程式均透過.NET進行Gzip壓縮封裝，最終將C++編寫的PE解壓後注入到CasPol.exe程式（.NET的碼訪問安全性策略工具）執行，經分析為Remcos遠控和GlobeImposter勒索病毒。.NET程式的編譯時間為2020年11月30號：

 

而解壓後獲取到的真實勒索病毒體編譯時間為2019年8月15日，已被威脅情報識別為GlobeImposter勒索病毒家族，程式結構也與此前分析無異：

威脅情報分析

透過威脅情報中心對該遠控樣本的C&C伺服器地址89.39.107.61進行關聯情報分析，檢視到該遠控樣本最初是透過URL：195[.]3[.]146[.]180/CyberGuard.exe進行下載到本地；

 

請求訪問IP地址：195.3.146.180，出現Apache2伺服器的預設頁面；

 

 

再結合雲端情報監控，捕獲到該IP地址在2020年12月5日又更新了上傳了惡意樣本server.exe，使用的下載url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等，推測該IP為攻擊者持續更新攻擊武器的伺服器地址，且攻擊者主要透過掃描資料庫弱口令或漏洞進行入侵；

 

從雲端安全裝置告警資訊中確認，該IP最初在2020年11月14日被識別為漏洞攻擊使用IP，並在最近一個月內頻繁進行攻擊嘗試；

 

攻擊的目標當前主要瞄準政府、能源等多個行業，隨著攻擊者的武器庫的持續更新，攻擊者後續還會繼續嘗試其他入侵方式進行攻擊，並很有可能擴散攻擊物件範圍；企業使用者需要儘快做好安全加固，避免遭受損失。

 

遠控程式分析

.NET程式經過混淆，動態挑時候發現其使用GzipStream類解壓資源段的資料，得到一個PE檔案，在記憶體中載入該PE檔案並呼叫Dgjxnaq.Structs.Utils的PublishWorker方法：

複製自身到Start Menu\Programs\Police\hhide.exe：

 

修改登錄檔HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders的Startup鍵值為%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Police，實現持久化：

 

解壓第三層PE，是一個模組名為模組名為ClassLibrary3.dll的檔案，其主要功能為加壓真實的可執行檔案並注入到.Net目錄下的CasPol.exe中：

 

該檔案是一個由C++編寫的遠控程式，從反編譯後的字串可以看出是Remcos家族的遠控，版本為最新的2.7.2 Pro：

 

 

該遠控程式具有如下功能：

• 獲取計算機資訊，使用RC4演算法加密後傳送到C&C伺服器；

• 開啟鍵盤記錄器；

• 截圖傳送C&C伺服器；

• C&C伺服器地址為89.39.107.61:2606；

勒索病毒分析

勒索病毒程式與遠控程式相同，也是使用.NET進行了多次封裝，多次使用使用Gzip解壓資源資料，第一層解壓的DLL檔案首先在temp目錄下釋放了一個kill.bat，該指令碼用於刪除包括資料庫、虛擬機器、WEB、壓縮軟體、雲等各類服務並結束相關程式：

 

同時，惡意程式在同目錄下釋放Ywikoaptapxf.vbs用於拉起和刪除bat：

隨後將自身複製到自啟動目錄下的一個新建目錄Agust下，命名為Chinna.exe：

 

緊接著再解壓兩次巢狀的DLL，最終得到一個C++編寫的可執行檔案，將該檔案注入"C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"程式：

 

該C++程式是一個已知的GlobeImposter勒索病毒，程式功能與之前的分析基本吻合，首先對自身程式進行提權操作，然後透過修改登錄檔來關閉Windows Defender：

透過登錄檔設定自啟動：

遍歷主機上的磁碟：

遍歷目錄，使用RSA演算法對檔案進行加密：

其中會跳過特定字尾檔案和目錄，避免加密系統檔案導致系統崩潰：

加密完成後修改檔案字尾：

在每個根目錄下釋放勒索資訊檔案：

深信服安全產品解決方案

1. 深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

2. 深信服安全感知、防火牆、EDR使用者，建議及時升級最新版本，開啟勒索防護策略，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4. 深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

基礎加固

深信服安全團隊再次提醒廣大使用者，勒索病毒以防為主，目前大部分勒索病毒加密後的檔案都無法解密，注意日常防範措施：

1、及時給系統和應用打補丁，修復常見高危漏洞；

2、對重要的資料檔案定期進行非本地備份；

3、不要點選來源不明的郵件附件，不從不明網站下載軟體；

4、儘量關閉不必要的檔案共享許可權；

5、更改主機賬戶和資料庫密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃；

6、如果業務上無需使用RDP的，建議關閉RDP功能，並儘量不要對外網對映RDP埠和資料庫埠。