股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
【安(ān)全通告】多(duō)款勒索软件同时爆发,幕后黑手频频出击以求实现利益最大化
发布时间 :2021年03月17日
分(fēn)享:
安(ān)全通告
近日,亚信安(ān)全网络安(ān)全实验室监测到FAKEGLOBE和MEDUSALOCKER两款勒索软件竟同时出现在同一个网络环境中(zhōng)。勒索软件并存是非常少见的,而且这两款勒索软件具(jù)有(yǒu)相似的文(wén)件名(míng)“CN.exe/CNdog.exe”,以及完全一致的加密后缀“lockfilescn”。為(wèi)达到勒索利益最大化,勒索软件的分(fēn)发者正持续活跃尝试对各类资产(chǎn)进行攻击,他(tā)们不但尝试投放多(duō)个勒索病毒,实现多(duō)次勒索并增加解密难度,而且还定向投放定制化的勒索病毒。
攻击流程
病毒详细分(fēn)析
Cndog.exe分(fēn)析
样本遍历文(wén)件并加密,加密后的文(wén)件后缀為(wèi)“lockfilescn”。
增加自启动项目。
在%temp%目录生成tmp3580.tmp.bat并执行,用(yòng)于以下操作(zuò):
删除卷影副本;
删除注册表中(zhōng)存放遠(yuǎn)程桌面历史记录的项;
清空存储的所有(yǒu)RDP连接过的ip地址和登录账户;
删除%userprofile%\documents\default.rdp;
遍历清除Windows系统日志(zhì)。
创建勒索信息文(wén)本文(wén)件 “how_to_back_files.html”。
CN.exe分(fēn)析
样本由VC++编译,未加壳。
该样本首先会创建互斥體(tǐ){8761ABBD-7F85-42EE-B272-A76179687C63},此互斥量与已发现的其他(tā)MEDUSALOCKER勒索样本完全一致。然后将自身拷贝到%AppData%\Roaming\svhost.exe并创建计划任務(wù)\svhost。
删除卷影副本:
Base64加密公(gōng)钥:
BgIAAACkAABSU0ExAAgAAAEAAQBtv9E5cdLPoTK8PwG0VTbxxURbhYM00jmY1b22v+Nwoe6+Vi6zHYcP5JmmueP4FBZBwANscT6dGxHpP4f4l9L9b/VLT6npX7+821EksPXaUJ8piYp8TCQPKRLJt6v7foVnI7jRW//K0wX9YmF7JWbBQROHPQTX7g3CQqZM7xGT4PfMa8g7+UBbstiEThpJo8PE1pgHfZrUFyiMwAv1hoXvaWVeAHKGOvoV+pKZ6Qi2fBCyJFmfL3hChhDWzIjp5oWd3l/RuSgET1sNAV8lkQPpf80OwlxFls5C8OnoG2d7eZJXDhcelK6K67Pp1Y6nC/B5mGpMhERMGnzSg9JkcrOn
文(wén)件加密和重命名(míng)逻辑:
遍历SMB共享:
文(wén)件重命名(míng)增加加密后缀“lockfilescn”,这与本文(wén)中(zhōng)前一个勒索病毒释放的后缀相同。
创建勒索信息文(wén)本“Recovery_Instructions.html”。
勒索攻击事件分(fēn)析
仔细阅读本文(wén)后,你一定会发现这次的两款勒索病毒具(jù)有(yǒu)相同的加密后缀。事实上不仅如此,这两个样本还是从同一个设备中(zhōng)捕获到的。通过日志(zhì)收集,网络安(ān)全研究人员在同一台设备中(zhōng)发现了上述两款勒索病毒,且其释放到系统的时间仅有(yǒu)几秒(miǎo)之差。这足以说明两款勒索病毒由同一个黑客组织投放。
不仅如此,两款勒索病毒先后执行,导致先执行的FAKEGLOBE勒索病毒释放的勒索信息文(wén)本how_to_back_files.html被后执行的Medusalocker勒索病毒加密。除此以外,研究人员还在设备中(zhōng)获取到一系列黑客工(gōng)具(jù),这在一定程度上说明了病毒投放者的攻击方式。
这些工(gōng)具(jù)与MedusaLocker被曝光的C&C站点中(zhōng)存放的工(gōng)具(jù)基本一致,包含:
内网端口扫描工(gōng)具(jù);
Psexec(sysinternal)可(kě)用(yòng)于遠(yuǎn)程传输文(wén)件和执行,需要对端IP地址、账户及口令;
Windows Defender一键关闭工(gōng)具(jù);
密码恢复工(gōng)具(jù)(包括浏览器、FTP、操作(zuò)系统等);
GMER、rootkit查杀工(gōng)具(jù),可(kě)用(yòng)于进程\文(wén)件\注册表管理(lǐ);
网络共享扫描工(gōng)具(jù);
MIMIKATZ密码Dump工(gōng)具(jù)。
病毒投放者尝试使用(yòng)端口扫描工(gōng)具(jù)快速筛选攻击目标,利用(yòng)窃取到的密码尝试登录到内网中(zhōng)的其他(tā)设备,并投放病毒。勒索病毒执行后则会删除RDP相关的信息及Windows系统日志(zhì)。
上述信息提示我们:恶意软件分(fēn)发者正持续活跃在信息安(ān)全薄弱点,以实现最大化攻击效益;其使用(yòng)多(duō)维度、高效率的工(gōng)具(jù)以帮助在企业内网横行;使用(yòng)定制化的勒索病毒加密用(yòng)户数据、勒索钱财;投放多(duō)个勒索病毒,实现多(duō)次勒索并增加解密难度(即使其中(zhōng)某一款勒索病毒私钥被披露,也无法完全解密)。
亚信安(ān)全产(chǎn)品解决方案
亚信安(ān)全病毒码版本16.591.60,云病毒码版本16.591.71,全球码版本16.591.00已经可(kě)以检测,请用(yòng)户及时升级病毒码版本;
亚信安(ān)全DDAn沙盒平台已经可(kě)以检测。
安(ān)全建议
打开系统自动更新(xīn),并检测更新(xīn)进行安(ān)装(zhuāng);
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中(zhōng)包含的链接;
请到正规网站或者应用(yòng)商(shāng)店(diàn)下载程序;
采用(yòng)高强度的密码,避免使用(yòng)弱口令密码,并定期更换密码;
尽量关闭不必要的端口;
尽量关闭不必要的网络共享;
请注意备份重要文(wén)档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用(yòng)两种不同格式保存,并将副本放在异地存储。
IOCs
分(fēn)享到微信
X