背景概述
近日,深信服安全團隊捕獲到一起利用MSSQL暴力破解投放勒索病毒的攻擊事件,攻擊者透過MSSQL的xp_cmdshell執行系統命令,從C&C伺服器下載並執行勒索病毒。執行的相關命令如下:
經安全專家分析,攻擊者所使用的程式均透過.NET進行Gzip壓縮封裝,最終將C++編寫的PE解壓後注入到CasPol.exe程式(.NET的碼訪問安全性策略工具)執行,經分析為Remcos遠控和GlobeImposter勒索病毒。.NET程式的編譯時間為2020年11月30號:
而解壓後獲取到的真實勒索病毒體編譯時間為2019年8月15日,已被威脅情報識別為GlobeImposter勒索病毒家族,程式結構也與此前分析無異:
威脅情報分析
透過威脅情報中心對該遠控樣本的C&C伺服器地址89.39.107.61進行關聯情報分析,檢視到該遠控樣本最初是透過URL:195[.]3[.]146[.]180/CyberGuard.exe進行下載到本地;
請求訪問IP地址:195.3.146.180,出現Apache2伺服器的預設頁面;
再結合雲端情報監控,捕獲到該IP地址在2020年12月5日又更新了上傳了惡意樣本server.exe,使用的下載url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等,推測該IP為攻擊者持續更新攻擊武器的伺服器地址,且攻擊者主要透過掃描資料庫弱口令或漏洞進行入侵;
從雲端安全裝置告警資訊中確認,該IP最初在2020年11月14日被識別為漏洞攻擊使用IP,並在最近一個月內頻繁進行攻擊嘗試;
攻擊的目標當前主要瞄準政府、能源等多個行業,隨著攻擊者的武器庫的持續更新,攻擊者後續還會繼續嘗試其他入侵方式進行攻擊,並很有可能擴散攻擊物件範圍;企業使用者需要儘快做好安全加固,避免遭受損失。
遠控程式分析
.NET程式經過混淆,動態挑時候發現其使用GzipStream類解壓資源段的資料,得到一個PE檔案,在記憶體中載入該PE檔案並呼叫Dgjxnaq.Structs.Utils的PublishWorker方法:
複製自身到Start Menu\Programs\Police\hhide.exe:
修改登錄檔HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders的Startup鍵值為%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Police,實現持久化:
解壓第三層PE,是一個模組名為模組名為ClassLibrary3.dll的檔案,其主要功能為加壓真實的可執行檔案並注入到.Net目錄下的CasPol.exe中:
該檔案是一個由C++編寫的遠控程式,從反編譯後的字串可以看出是Remcos家族的遠控,版本為最新的2.7.2 Pro:
該遠控程式具有如下功能:
勒索病毒分析
勒索病毒程式與遠控程式相同,也是使用.NET進行了多次封裝,多次使用使用Gzip解壓資源資料,第一層解壓的DLL檔案首先在temp目錄下釋放了一個kill.bat,該指令碼用於刪除包括資料庫、虛擬機器、WEB、壓縮軟體、雲等各類服務並結束相關程式:
同時,惡意程式在同目錄下釋放Ywikoaptapxf.vbs用於拉起和刪除bat:
隨後將自身複製到自啟動目錄下的一個新建目錄Agust下,命名為Chinna.exe:
緊接著再解壓兩次巢狀的DLL,最終得到一個C++編寫的可執行檔案,將該檔案注入"C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"程式:
該C++程式是一個已知的GlobeImposter勒索病毒,程式功能與之前的分析基本吻合,首先對自身程式進行提權操作,然後透過修改登錄檔來關閉Windows Defender:
透過登錄檔設定自啟動:
遍歷主機上的磁碟:
遍歷目錄,使用RSA演算法對檔案進行加密:
其中會跳過特定字尾檔案和目錄,避免加密系統檔案導致系統崩潰:
加密完成後修改檔案字尾:
在每個根目錄下釋放勒索資訊檔案:
深信服安全產品解決方案
1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,開啟勒索防護策略,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;
4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
基礎加固
深信服安全團隊再次提醒廣大使用者,勒索病毒以防為主,目前大部分勒索病毒加密後的檔案都無法解密,注意日常防範措施:
1、及時給系統和應用打補丁,修復常見高危漏洞;
2、對重要的資料檔案定期進行非本地備份;
3、不要點選來源不明的郵件附件,不從不明網站下載軟體;
4、儘量關閉不必要的檔案共享許可權;
5、更改主機賬戶和資料庫密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃;
6、如果業務上無需使用RDP的,建議關閉RDP功能,並儘量不要對外網對映RDP埠和資料庫埠。