国内企业遭遇勒索软件攻击事件及相关样本分析

Track-SSG   ·   发表于 2018-12-11 11:08:15   ·   漏洞文章

 

事件背景

日前,国内某制造企业遭受勒索病毒攻击,造成核心生产网络、业务办公网络被勒索病毒加密,直接导致生产停工,中招主机被要求支付0.1个比特币的赎金。360企业安全接到用户应急求助后,第一时间赶赴现场,对该事件进行分析和溯源,现场快速定位、及时恢复数据,帮助用户降低损失。

分析显示攻击者采用了人工渗透定向攻击并推送多个恶意模块进行勒索,不排除攻击者对更多已经控制的内网系统下手,在此提醒用户对网络和终端进行安全排查,发现入侵迹象及时采取措施。以下为360威胁情报中心对现场所获取的勒索病毒的技术分析及防护处置建议,供不幸中招的用户参考,如需协助也可以联系360企业安全应急响应中心。

 

现场取证与事件分析

360企业安全应急响应安全专家通过对现场终端进行初步排查,发现客户终端主机被植入勒索病毒,导致无法进入操作系统。下图为被勒索的主机开机时的界面。

pastedGraphic.png

修复MBR后使用数据恢复软件恢复部分文件,在部分机器上对日志进行分析,发现其存在域控管理员登入记录。

经过排查,初步判断此次攻击事件由黑客入侵企业的备用域控,获得其账号密码,并在bat脚本中批量使用cmdkey命令来保存远程主机凭据到当前会话,随后调用psexec远程执行命令,向域中机器下发攻击文件进行勒索。

pastedGraphic_1.png

pastedGraphic_2.png

pastedGraphic_3.png

pastedGraphic_4.png

在此次应急响应过程中,我们发现了3个勒索恶意代码的相关样本:

勒索病毒名功能说明
update3.exe将勒索信息写入主机MBR,不会加密机器文件
update.exe使用类似TEA的对称加密算法加密文件
update2.exe使用libsodium-file-crypter开源项目开源代码加密文件

 

样本分析

360企业安全应急响应团队在完成初步摸排梳理工作后,对现场发现的3个勒索相关样本进行详细分析,具体如下:

三个样本初始执行的入口解密流程类似

pastedGraphic_5.png

解密出43163C处代码,并通过EnumWindowStation回调函数执行。

pastedGraphic_6.png

在第二阶段,样本通过映射NTDLL模块来获取所需API并逃避R3 HOOK。

pastedGraphic_7.png

判断样本是否在64位模式下运行。

pastedGraphic_8.png

反调试及虚拟机检测。

pastedGraphic_9.png

最后执行主要功能,如下描述。

1. update3.exe – MBR锁屏

以读写的模式,打开计算机\\.\PhysicalDrive0、\\.\PhysicalDrive1、\\.\PhysicalDrive2、等磁盘写主机MBR勒索数据。

pastedGraphic_10.png

写入的MBR功能代码为,调用int 13中断,将扇区1-32从磁盘加载到内存0x8000开始的地址,然后转到0x8000执行指令:

pastedGraphic_11.png

pastedGraphic_12.png

设置屏幕的显示模式。

pastedGraphic_13.png

并调用int 10h中断显示骷髅头。

pastedGraphic_14.png

pastedGraphic_15.png

检测是否有键盘按键信息 如果有按键信息,则读取相应的勒索信息,弹出信息勒索信息显示界面。

pastedGraphic_16.png

骷髅头字符信息:

pastedGraphic_17.png

重启机器后的显示效果:

pastedGraphic_18.png

本次事件,攻击者使用了此恶意破坏模块来劫持系统进行勒索。

2. update.exe – Aurora变种勒索软件

执行的勒索代码是在二阶段中由BlowFish算法加密压缩的。

pastedGraphic_19.png

pastedGraphic_20.png

样本通过创建傀儡进程的方式来执行勒索代码。

pastedGraphic_21.png

此勒索样本的PDB信息如下,勒索病毒为Aurora。

pastedGraphic_22.png

勒索样本中依旧做了虚拟机检测。

pastedGraphic_23.png

设置一个启动项,名称为MSFEEditor。

pastedGraphic_24.png

要加密文件的后缀列表如下:

1CD, doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, eml, vsd, vsdx, txt, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, jpeg, jpg, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi, vmdk, vmx, gpg, aes, ARC, PAQ, bz2, tbk, bak, tar, tgz, rar, zip, backup, iso, vcd, bmp, png, gif, raw, cgm, tif, tiff, nef, psd, svg, djvu, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3, class, jar, java, asp, php, jsp, brd, sch, dch, dip, vbs, ps1, bat, cmd, asm, pas, cpp, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, mdb, accdb, sql, sqlitedb, sqlite3, asc, lay6, lay, mml, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der。

pastedGraphic_25.png

如果成功,则创建每个目录下创建“RICKROLL_BLOCKED.txt、RICKROLL_HELP.txt、RICKROLL_MESSAGE.txt”文件,展示勒索信息。

pastedGraphic_26.png

勒索具体信息如下

pastedGraphic_27.png

加密用的密钥,每次运行都重新生成,生成后得相关信息,保存到%APPDATA%/000000000.key。

pastedGraphic_28.png

pastedGraphic_29.png

遍历目录加密,加密后的文件后缀为:.rickroll。

pastedGraphic_30.png

pastedGraphic_31.png

使用了类似TEA算法对称加密算法。

pastedGraphic_32.png

加密完成后,删除启动项。

pastedGraphic_33.png

3. update2.exe – libsodium-file-crypter开源项目

updata2.exe同样采用创建傀儡进程的方式来运行,勒索软件采用NIM语言编写。

pastedGraphic_34.png

首先判断%AppData%\Roaming路径下是否有 lock_file,若已存在该文件,则进程退出。

pastedGraphic_35.png

判断当前进程是否在%AppData%\Roaming目录下,若路径不是则拷贝文件到该目录下,文件名为随机数字 ,并把拷贝过去的文件设置成自启动项。

pastedGraphic_36.png

从倒叙的英文26个字母中选择一位作为磁盘名,判断是否为可用磁盘,若是可用磁盘进行后续文件遍历加密操作。

pastedGraphic_37.png

之后创建多个线程实现文件遍历加密工作,排除c:windows目录下的文件和后缀名为exe/dll的文件不进行加密,其余文件采用开源算法salsa20变种进行加密,加密后的文件后缀为.backup。

pastedGraphic_38.png

每次加密时将key等信息保存到%AppData%\Roaming\encryption_key文件中。

pastedGraphic_39.png

加密完成后在%AppData%创建一个lock_file以及一个HOW_TO_DECRYPT_FILES.html,内容为勒索信息,并展示该信息。

pastedGraphic_40.png

 

修复方案与防护建议

修复方案

可以通过使用PE系统登入服务器,使用磁盘工具搜索磁盘,并使用安全工具恢复MBR即可解决系统无法启动的问题。

安全防护建议

1. 对于已中招服务器下线隔离。

2. 对于未中招服务器

1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。

2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。

3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

4)安装终端安全防护软件。

 

参考链接

[1]. Aurora/Zorro:勒索软件之换皮重出江湖

https://www.freebuf.com/news/190363.html

[2].TEA介绍

https://www.cnblogs.com/chevin/p/5681228.html

[3]. libsodium-file-crypter开源项目

https://github.com/jpiechowka/libsodium-file-crypter

本文由安全客原创发布                                
转载自安全客 - 有思想的安全新媒体


打赏我,让我更有动力~

0 条回复   |  直到 2018-12-11 | 955 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.