干货 | GlobeImposter家族的勒索样本分析过程
近日来,安恒安全人员频繁接到用户单位服务器受到勒索病毒攻击,其中某医疗机构出现几十台设备蓝屏和数台设备被感染。经过分析判定感染设备的勒索软件是GlobeImposter家族的新变种。变种病毒样本通常使用包含混淆的JaveScript脚本的邮件传播,加密系统文件并对用户实行支付方式的勒索。将加密文件重命名为.TRUE/.TECHNO/.CHAK/.LIN/.GOTHAM等扩展名。由于GlobeImposter家族使用的算法复杂,解密非常困难。
经过安恒APT预警平台分析定位,此次勒索病毒黑客除了使用GlobeImposter家族的新变种对服务器进行加密实现勒索外,同时黑客还持续使用WannaCry进行勒索。
经分析发现,用户出现的勒索病毒是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.TRUE/.TECHNO等扩展名。以下为对此次GlobeImposter家族的勒索样本分析过程:
首先它会解密加密排除目录和加密所使用的后缀名称:
动态进行调试时能解密这些目录,如:Windows、Microsoft等目录
接着拷贝到系统目录并设置为自启动:
接着使用CryptGenRandom随机生成的密钥对系统文件进行加密。
加密文件使用的都是一些常见加密操作,最终勒索的界面如下:
事实上,该勒索软件存在一个严重编码的问题,它设置很多的目录不加密,但是还是有遗漏,导致感染了系统启动关键文件,如感染了“Boot.ini”。
被感染的系统在重启后便会启动失败,提示文件丢失。如下图:
某市机构反馈出现多台设备出现蓝屏,经判定,用户主机受到臭名昭著的勒索病毒WannaCry蠕虫感染,安恒安全人员携带APT预警平台协助用户进行追踪溯源。迅速定位到受感染主机上的异常进程文件mssecsvc.exe和mssecsvr.exe,对其定位过程如下:
(1)APT检测到SMB远程命令执行成功的告警。
(2)通过对服务器端口445占用情况分析发现进程ID为8988和5376的两个进程持续异常活跃。
(3)对进程进行定位发现mssecsvc.exe和mssecsvr.exe蠕虫。
(4)通过APT预警平台对样本检测,其为17年5月份爆发的WannaCry蠕虫。此次就不再对这两个样本详细展开分析。
(1)对于已经感染的系统
a、断开已经感染的主机系统的网络连接, 防止进一步扩散;
b、优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。
c、已经感染终端,根据终端数据重要性决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。
(2)对于未感染的系统
a、拔掉网线之后再开机启动;
b、做好重要文件的备份工作,备份与感染主机隔离;
c、对系统更新补丁。安装防病毒软件,开启防护策略,定期更新查杀;
d、对可疑邮件谨慎操作;
e、对GlobeImposter勒索软件变种利用RDP协议暴力破解系统密码方式实现传播,建议关闭非必要RDP;
f、关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的ip连接登录;
g、采用高强度的口令,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码;
h、部署安恒APT预警平台进行检测。
- END -
上周热门文章TOP3