中文
近日,深信服安全团队捕获到针对国内企业的新型勒索病毒攻击事件,攻击者通过爆破获得跳板机权限后,利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密,该勒索病毒加密邮箱与后缀为硬编码的字符串“.[deadmin@cock.li].deadmin”,并在勒索信息文件中自命名为deadmin locker,该勒索暂无公开解密工具。
▲加密完成后在桌面及加密根目录释放勒索信息文件
病毒名称:deadmin locker
病毒性质:勒索病毒
影响范围:目前国内已有感染案例
危害等级:高危
传播方式:通过社会工程、rdp暴力破解入侵,并使用黑客工具包内网渗透
病毒描述
该勒索病毒主要利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密。在被勒索的主机上获取到攻击者留下的全套黑客工具包,包含从密码收集到远程登录等一系列内网渗透工具,可谓是一应俱全,其中包含较为小众的automimi、lazy、rdp_con、gmer等工具,甚至包含名为!rdp的快捷方式,用于启动本地远程桌面连接:
黑客工具包包含:
密码抓取:automimi、mimi、netpass64.exe、lazy
内网扫描:masscan、!portscan、advanced_port_scanner、networkshare
密码爆破: nlbrute 远程工具:psexec、!rdp、rdp_con
反杀软工具:gmer、pchunter64、powertool、powertool_64、processhacker64
勒索病毒入侵攻击流程:
-
本地提权后,使用mimikatz抓取主机密码,在此过程中,黑客写了自动化脚本launch.vbs来简化抓取密码的步骤。
-
黑客将抓取到的密码加入后续的爆破字典中,原因是管理员一般会将多个服务器的密码设置成相同的,将本机密码加入字典,可以增大爆破的成功率。
-
使用端口扫描器扫描内网中存活的ip,并筛选开放了445和3389端口的主机。
-
对于开放了3389端口的主机,黑客直接使用nlbrute进行爆破用户名和密码。
-
对于只开放了445端口的主机,黑客通过爆破的方式获取主机的账号密码。
-
然后使用psexec上传脚本至目标主机并运行,开启rdp服务。
-
获取到以上爆破成功的主机后,使用rdp_con工具进行批量连接。
rdp连接到受害主机后,黑客会上传一系列反杀软工具,kill杀毒软件,最后运行勒索病毒进行勒索,至此,整个勒索入侵的流程完成。
勒索病毒详细分析
-
勒索病毒文件使用upx加壳,运行后首先调用了winexec执行命令行删除磁盘卷影,用于防止用户恢复数据
-
关闭如下服务,避免影响加密
vmickvpexchange、vmicguestinterface、vmicshutdown、vmicheartbeat、vmicrdv、storflt、vmictimesync、vmicvss、mssqlfdlauncher、mssqlserver、sqlserveragent、sqlbrowser、sqltelemetry、msdtsserver130、ssistelemetry130、sqlwriter、mssql、sqlagent、mssqlserveradhelper100、mssqlserverolapservice、msdtsserver100、reportserver、tmbmserver、postgresql-x64-9.4、unifi、vmms、sql-x64-9.4、unifi、vmms
-
遍历进程,结束下列进程,防止进程占用文件影响加密
sqlbrowser.exe、sqlwriter.exe、sqlservr.exe、msmdsrv.exe、msdtssrvr.exe、sqlceip.exe、fdlauncher.exe、ssms.exe、sqlserv.exe、oracle.exe、ntdbsmgr.exe、reportingservecesservice.exe、fdhost.exe、sqlagent.exe、reportingservicesservice.exe、msftesql.exe、pg_ctl.exe、postgres.exe、unifi.exe、sqlagent.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesctopservice.exe、ocautoupds.exe、agntsvc.exe、agntsvc.exe、agntsvc.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、erbird.exe、visio.exe、winword.exe、wordpad.exe
-
生成密钥,使用rsa算法加密aes密钥,再使用aes算法加密文件
-
在桌面创建一个勒索信息txt文件,然后通过遍历在每个加密文件的根目录下释放一个勒索信息txt文件
-
遍历磁盘进行加密,并且对c盘下的目录单独进行判断,跳过系统目录
-
加密完成后进行自删除
凯发登录的解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒检测查杀
-
深信服终端检测响应平台(edr)、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测
-
深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀
64位系统下载链接:
https://edr.sangfor.com.cn/tool/sfabantibot_x64.7z
32位系统下载链接:
https://edr.sangfor.com.cn/tool/sfabantibot_x86.7z
病毒防御
-
及时给电脑打补丁,修复漏洞;
-
对重要的数据文件定期进行非本地备份;
-
不要点击来源不明的邮件附件,不从不明网站下载软件;
-
尽量关闭不必要的文件共享权限;
-
更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;
-
如果业务上无需使用rdp的,建议关闭rdp;
-
当出现此类事件时,推荐使用深信服下一代防火墙,或者edr的微隔离功能对3389等端口进行封堵,防止扩散;
-
深信服下一代防火墙、edr均有防爆破功能,下一代防火墙开启此功能并启用11080051、11080027、11080016规则,edr开启防爆破功能可进行防御;
-
深信服下一代防火墙用户,建议升级到af805版本,并开启save安全智能检测引擎,以达到最好的防御效果;
-
深信服edr支持识别市面上大多数的流行黑客工具,并具备主动拦截和禁止运行功能。深信服edr用户,建议开启勒索防护功能,精准拦截勒索病毒;
-
使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁;
-
深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知 下一代防火墙 edr,对内网进行感知、查杀和防护。
咨询与服务
您可以通过以下方式联系凯发注册网站,获取关于
的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通勒索病毒专线)
2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)pc端访问深信服区
bbs.sangfor.com.cn,选择右侧智能客服,进行咨询