百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

深信服千里目發表於2020-12-17

背景概述

近日,深信服安全團隊捕獲到一起利用MSSQL暴力破解投放勒索病毒的攻擊事件,攻擊者透過MSSQL的xp_cmdshell執行系統命令,從C&C伺服器下載並執行勒索病毒。執行的相關命令如下:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊 

 

經安全專家分析,攻擊者所使用的程式均透過.NET進行Gzip壓縮封裝,最終將C++編寫的PE解壓後注入到CasPol.exe程式(.NET的碼訪問安全性策略工具)執行,經分析為Remcos遠控和GlobeImposter勒索病毒。.NET程式的編譯時間為2020年11月30號:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

而解壓後獲取到的真實勒索病毒體編譯時間為2019年8月15日,已被威脅情報識別為GlobeImposter勒索病毒家族,程式結構也與此前分析無異:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

威脅情報分析

透過威脅情報中心對該遠控樣本的C&C伺服器地址89.39.107.61進行關聯情報分析,檢視到該遠控樣本最初是透過URL:195[.]3[.]146[.]180/CyberGuard.exe進行下載到本地;

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

請求訪問IP地址:195.3.146.180,出現Apache2伺服器的預設頁面;

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊 

 

再結合雲端情報監控,捕獲到該IP地址在2020年12月5日又更新了上傳了惡意樣本server.exe,使用的下載url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等,推測該IP為攻擊者持續更新攻擊武器的伺服器地址,且攻擊者主要透過掃描資料庫弱口令或漏洞進行入侵;

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

從雲端安全裝置告警資訊中確認,該IP最初在2020年11月14日被識別為漏洞攻擊使用IP,並在最近一個月內頻繁進行攻擊嘗試;

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

攻擊的目標當前主要瞄準政府、能源等多個行業,隨著攻擊者的武器庫的持續更新,攻擊者後續還會繼續嘗試其他入侵方式進行攻擊,並很有可能擴散攻擊物件範圍;企業使用者需要儘快做好安全加固,避免遭受損失。

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

遠控程式分析

.NET程式經過混淆,動態挑時候發現其使用GzipStream類解壓資源段的資料,得到一個PE檔案,在記憶體中載入該PE檔案並呼叫Dgjxnaq.Structs.Utils的PublishWorker方法:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊


複製自身到Start Menu\Programs\Police\hhide.exe:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

修改登錄檔HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders的Startup鍵值為%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Police,實現持久化:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

解壓第三層PE,是一個模組名為模組名為ClassLibrary3.dll的檔案,其主要功能為加壓真實的可執行檔案並注入到.Net目錄下的CasPol.exe中:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

該檔案是一個由C++編寫的遠控程式,從反編譯後的字串可以看出是Remcos家族的遠控,版本為最新的2.7.2 Pro:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊 

 

該遠控程式具有如下功能:

  • 獲取計算機資訊,使用RC4演算法加密後傳送到C&C伺服器;

  • 開啟鍵盤記錄器;

  • 截圖傳送C&C伺服器;

  • C&C伺服器地址為89.39.107.61:2606;

勒索病毒分析

勒索病毒程式與遠控程式相同,也是使用.NET進行了多次封裝,多次使用使用Gzip解壓資源資料,第一層解壓的DLL檔案首先在temp目錄下釋放了一個kill.bat,該指令碼用於刪除包括資料庫、虛擬機器、WEB、壓縮軟體、雲等各類服務並結束相關程式:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

同時,惡意程式在同目錄下釋放Ywikoaptapxf.vbs用於拉起和刪除bat:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊


隨後將自身複製到自啟動目錄下的一個新建目錄Agust下,命名為Chinna.exe:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

緊接著再解壓兩次巢狀的DLL,最終得到一個C++編寫的可執行檔案,將該檔案注入"C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"程式:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

 

該C++程式是一個已知的GlobeImposter勒索病毒,程式功能與之前的分析基本吻合,首先對自身程式進行提權操作,然後透過修改登錄檔來關閉Windows Defender:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊


透過登錄檔設定自啟動:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊


遍歷主機上的磁碟:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊


遍歷目錄,使用RSA演算法對檔案進行加密:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊


其中會跳過特定字尾檔案和目錄,避免加密系統檔案導致系統崩潰:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊


加密完成後修改檔案字尾:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊


在每個根目錄下釋放勒索資訊檔案:

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊

深信服安全產品解決方案

1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

2. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,開啟勒索防護策略,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;

百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊


3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;

4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

基礎加固

深信服安全團隊再次提醒廣大使用者,勒索病毒以防為主,目前大部分勒索病毒加密後的檔案都無法解密,注意日常防範措施:

1、及時給系統和應用打補丁,修復常見高危漏洞;

2、對重要的資料檔案定期進行非本地備份;

3、不要點選來源不明的郵件附件,不從不明網站下載軟體;

4、儘量關閉不必要的檔案共享許可權;

5、更改主機賬戶和資料庫密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃;

6、如果業務上無需使用RDP的,建議關閉RDP功能,並儘量不要對外網對映RDP埠和資料庫埠。

相關文章