99精品国产美女福到在线不卡_国产日韩特色一一区二区三区_草莓视频免费在线看_精品国产热久久中文字幕_91九色国产精品_五月天综合网亚洲综合天堂网_中文亚洲欧美在线观看三区_三级不卡在线观看欧美_18禁在线网站免费不卡_我的世界珍妮拔萝卜不打码图片

真情服務(wù)  厚德載物
今天是:
聯(lián)系我們

市場部:0564-3227239
技術(shù)部:0564-3227237
財(cái)務(wù)部: 0564-3227034
公司郵箱:lachs@126.com
技術(shù)郵箱:cc1982@163.com
地址:六安市淠望路103號(hào)

技術(shù)分類
推薦資訊
當(dāng)前位置:首 頁 > 技術(shù)中心 > 安全產(chǎn)品 > 查看信息
REVIL風(fēng)云再起,APT式勒索爆發(fā)
作者:永辰科技  來源:綠盟科技  發(fā)表時(shí)間:2021-5-26 20:21:32  點(diǎn)擊:2988

一、事件背景

2021年5月,綠盟科技CERT監(jiān)測到REvil/Sodinokibi勒索家族的多起活動(dòng),REvil為Ransomware Evil(又稱Sodinokibi)的縮寫,是一個(gè)私人勒索軟件即服務(wù)(RaaS)組織。于2019年4月首次被發(fā)現(xiàn),在一年內(nèi)就已被用于一些知名網(wǎng)絡(luò)攻擊,2019年8月的PerCSoft攻擊,2020年1月的Travelex勒索軟件攻擊,及2020年1月的Gedia Automotive攻擊等事件。近期,該組織入侵了蘋果公司的供應(yīng)商,并竊取了蘋果公司即將推出的產(chǎn)品機(jī)密原理圖。

多數(shù)網(wǎng)絡(luò)安全專家認(rèn)為,REvil是以前一個(gè)臭名昭著但已解散的黑客團(tuán)伙GandCrab的分支。該推測源于REvil在GandCrab停止運(yùn)營后立刻開始活動(dòng),且二者使用的勒索軟件存在大量共享代碼。

二、組織分析

Sodinokibi運(yùn)營商通常雇用黑客攻擊者進(jìn)行初始入侵。他們的攻擊往往從熟悉的技術(shù)開始,如帶有魚叉式釣魚鏈接或附件的惡意郵件、使用有效賬戶的RDP訪問、已被入侵的web網(wǎng)站和漏洞利用等。并且還會(huì)使用一些對目標(biāo)具有針對性的技術(shù)。

Sodinokibi家族采用勒索軟件即服務(wù)的模式,意味著分發(fā)的攻擊者將向運(yùn)營商支付最新版本的使用費(fèi),并由勒索組織為他們運(yùn)營基礎(chǔ)設(shè)施。在Sodinokibi的配置中有兩個(gè)字段,將跟蹤客戶端和部署勒索軟件期間的特定客戶端活動(dòng)。

三、攻擊手法分析

Sodinokibi病毒本身并不具備自動(dòng)傳播功能,主要依靠攻擊者手動(dòng)傳播,但會(huì)通過掃描局域網(wǎng)共享資源,嘗試加密共享文件。勒索病毒團(tuán)伙對特定目標(biāo)進(jìn)行長期滲透,獲取內(nèi)網(wǎng)權(quán)限并控制關(guān)鍵生產(chǎn)設(shè)施(例如域控主機(jī)),然后通過特定方式(例如域策略、PsExec遠(yuǎn)程連接執(zhí)行等)在內(nèi)網(wǎng)中傳播加密病毒主體程序。在入侵過程中,攻擊者使用了很多類似APT組織的手段,如利用CobaltStrike等遠(yuǎn)控木馬長期駐留、收集敏感文件、白加黑實(shí)現(xiàn)勒索病毒免殺等。

某案例中,攻擊者通過powershell命令禁用Windows Defender的實(shí)時(shí)保護(hù):

通過共享拷貝與wmic命令,將勒索病毒樣本拷貝到目標(biāo)主機(jī)并執(zhí)行:

或者通過域控下發(fā)組策略的方式,將勒索病毒樣本拷貝到終端并執(zhí)行。勒索病毒本體具有有效數(shù)字簽名,并采用了白加黑的方式,躲避殺毒軟件查殺。

攻擊者還會(huì)使用powershell或MSBUILD命令執(zhí)行文件加載CobaltStrike 遠(yuǎn)控木馬以實(shí)現(xiàn)長期權(quán)限維持。

病毒本身并不具備系統(tǒng)駐留功能,不會(huì)讀寫被加密終端的任何啟動(dòng)項(xiàng)。但在一些案例中發(fā)現(xiàn),部分攻擊者通過批處理的方式新建定時(shí)計(jì)劃任務(wù)來不斷啟動(dòng)加密程序,以便達(dá)到感染新文件、新存儲(chǔ)介質(zhì)的目的。

REvil家族在滲透的過程中除了投放勒索病毒,還會(huì)收集上傳被攻擊系統(tǒng)的文件。某案例中,勒索信提到“我們還從您的服務(wù)器下載了大量敏感數(shù)據(jù),如果您不付款,我們將會(huì)把您的文件上傳到我們的公共博客”。

在本地開啟網(wǎng)絡(luò)共享,并通過psexec工具,利用通用口令,批量將users.ps1拷貝到目標(biāo)主機(jī)。

使用psexec命令,批量執(zhí)行拷貝到目標(biāo)主機(jī)的users.ps1文件。

攻擊者會(huì)通過powershell腳本搜集系統(tǒng)敏感文件并上傳。腳本作用:收集目標(biāo)主機(jī)120天內(nèi)創(chuàng)建的指定后綴文件,并上傳到目標(biāo)主機(jī)共享目錄。

通過注冊表信息,確認(rèn)攻擊者安裝了TntDrive客戶端,并將云存儲(chǔ)對象掛載到本地磁盤U(攻擊者上傳文件的共享目錄)。

四、CobaltStrike分析

原始powershell代碼使用powershell base64編碼:

解碼后內(nèi)容如下:

進(jìn)行二次解碼,獲取到powershell真實(shí)代碼,功能為將腳本中的數(shù)據(jù)進(jìn)行異或,加載到內(nèi)存中執(zhí)行。此腳本為Cobaltstrike powershell形式的payload。

將加載到內(nèi)存中的內(nèi)容恢復(fù)成二進(jìn)制文件,可以獲取到CS beacon的回連地址。通過回連地址發(fā)現(xiàn),此shellcode是CS的SMB beacon,主要用于內(nèi)網(wǎng)滲透。

五、勒索樣本分析

5.1 釋放本體

樣本入口如下:

會(huì)釋放出一個(gè)exe和一個(gè)dll到臨時(shí)目錄,并啟動(dòng)進(jìn)程MsMpEng.exe

釋放的MsMpEng.exe文件本身無惡意功能,主要用于給Mpsvc.dll提供運(yùn)行環(huán)境,病毒的所有行為都在該dll文件中。接口為Mpsvc.dll的導(dǎo)出函數(shù)ServiceCrtMain:

導(dǎo)出函數(shù)ServiceCrtMain任務(wù)是:

PE如下:

還原PE標(biāo)記,使用PE文件解析器可正常解析,但導(dǎo)入表被加密,后來發(fā)現(xiàn)病毒手動(dòng)調(diào)用要使用的API(動(dòng)態(tài)解密)。

該P(yáng)E文件為病毒本體,到此病毒本體釋放完成。

病毒本體概覽:

5.2 病毒配置表

該勒索病毒有張配置表,該配置表單主要記錄了病毒加密行為以及勒索文本如下:

文件目錄排除:

“fld”:[“$windows.~bt”,”intel”,”google”,”windows”,”torbrowser”,”$windows.~ws”,”applicationdata”,”mozilla”,”windows.old”,”perflogs”,”appdata”,”msocache”,”boot”,

“systemvolumeinformation”,”programfiles”,”programfiles(x86)”,”$recycle.bin”,”programdata”],

文件排除:

“fls”:[“thumbs.db”,”bootsect.bak”,”desktop.ini”,”ntldr”,”ntuser.dat”,”autorun.inf”,”iconcache.db”,”boot.ini”,”bootfont.bin”,”ntuser.ini”,”ntuser.dat.log”],

文件擴(kuò)展名排除:

“ext”:[“exe”,”mod”,”shs”,”cpl”,”idx”,”diagcfg”,”ico”,”nomedia”,”sys”,”cmd”,”key”,”msp”,”msstyles”,”bin”,”rom”,”bat”,”cur”,”diagcab”,”ldf”,”dll”,”scr”,”hta”,”rtp”,”hlp”,”theme”,”msi”,”com”,”prf”,”spl”,”wpx”,”deskthemepack”,”diagpkg”,”mpa”,”icns”,”ps1″,”drv”,”ics”,”nls”,”adv”,”msu”,”cab”,”lnk”,”ocx”,”ani”,”themepack”,”icl”,”msc”,”386″,”lock”]},

文件目錄移除:

“wfld”:[“backup”],

停用服務(wù)清單:

“prc”:[“mydesktopqos”,”thebat”,”synctime”,”onenote”,”mspub”,”dbsnmp”,”isqlplussvc”,”tbirdconfig”,”oracle”,”xfssvccon”,”wordpad”,”agntsvc”,”sqbcoreservice”,”ocautoupds”,”firefox”,”msaccess”,”thunderbird”,”excel”,”outlook”,”encsvc”,”visio”,”powerpnt”,”ocomm”,”steam”,”mydesktopservice”,”ocssd”,”sql”,”winword”,”dbeng50″,”infopath”]

殺死服務(wù)清單:

“svc”:[“veeam”,”sql”,”svc$”,”backup”,”sophos”,”vss”,”memtas”,”mepocs”]

勒索文本:

[+] Whats Happen? [+]

Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension u89416xh.

By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).

[+] What guarantees? [+]

………………………………..

并且病毒會(huì)判斷所感染計(jì)算機(jī)使用的語言,如下:

使用函數(shù)GetUserDefaultUILanguage,GetSystemDefaultUILanguage返回的ID和列表框中的ID不同,那么為感染目標(biāo),通過此處來看修改非目標(biāo)計(jì)算機(jī)語言可排除感染該病毒。病毒會(huì)創(chuàng)建互斥體確保唯一運(yùn)行,病毒會(huì)多次檢查自己的句柄權(quán)限是否為管理員權(quán)限,如果權(quán)限不夠?qū)?huì)重新以管理員權(quán)限重新啟動(dòng)自己,并且激活相關(guān)權(quán)限。

5.3 主體功能

5.3.1 本地加密

病毒實(shí)際的行為是在Sub_F4476F_Start函數(shù)中,如下:

病毒首先清空回收站,關(guān)閉清單中的相關(guān)服務(wù),殺死清單中進(jìn)程,然后在激活相關(guān)權(quán)限的情況下,開始加密功能。主要使用FindFirstFile 和FindNextFile來查找所有文件,使用salsa20+AES的算法進(jìn)行文件加密。

在加密的過程如果發(fā)現(xiàn)文件為目標(biāo)感染文件,但被進(jìn)程占用,病毒會(huì)調(diào)用terminateProcesss結(jié)束相關(guān)進(jìn)程,再進(jìn)行加密。

加密函數(shù)如下:

網(wǎng)絡(luò)磁盤加密

病毒也會(huì)同時(shí)對網(wǎng)絡(luò)磁盤中的文件進(jìn)行加密,如下:

5.3.2 嘗試加密局域網(wǎng)共享文件

在加密的過程中病毒有枚舉局域網(wǎng)計(jì)算機(jī)的行為,主要是查找局域網(wǎng)共享,嘗試加密共享文件。

5.4 顯示桌面勒索背景

在加密功能完成以后會(huì)通過設(shè)置注冊表設(shè)置桌面背景為勒索圖片。

六、勒索軟件防范建議

  • 加強(qiáng)企業(yè)員工安全意識(shí)培訓(xùn),不輕易打開陌生郵件或運(yùn)行來歷不明的程序;
  • 盡量排除危險(xiǎn)端口對外開放,利用IPS、防火墻等設(shè)備對危險(xiǎn)端口進(jìn)行防護(hù)(445、139、3389等);
  • 開啟Windows系統(tǒng)防火墻,通過ACL等方式,對RDP及SMB服務(wù)訪問進(jìn)行加固;
  • 通過Windows組策略配置賬戶鎖定策略,對短時(shí)間內(nèi)連續(xù)登陸失敗的賬戶進(jìn)行鎖定;
  • 加強(qiáng)主機(jī)賬戶口令復(fù)雜度及修改周期管理,并盡量排除出現(xiàn)通用或規(guī)律口令的情況;
  • 修改系統(tǒng)管理員默認(rèn)用戶名,排除使用admin、administrator、test等常見用戶名;
  • 安裝具備自保護(hù)的防病毒軟件,防止被黑客退出或結(jié)束進(jìn)程,并及時(shí)更新病毒庫;
  • 及時(shí)更新操作系統(tǒng)及其他應(yīng)用的高危漏洞安全補(bǔ)。
  • 定時(shí)對重要業(yè)務(wù)數(shù)據(jù)進(jìn)行備份,防止數(shù)據(jù)破壞或丟失。

七、產(chǎn)品防護(hù)

針對此類事件,綠盟科技網(wǎng)絡(luò)入侵防護(hù)/檢測系統(tǒng)(IPS/IDS)、綜合威脅探針(UTS)與下一代防火墻 (NF)已發(fā)布規(guī)則升級包。請相關(guān)用戶升級至最新版本規(guī)則,以形成安全產(chǎn)品防護(hù)能力。產(chǎn)品規(guī)則版本號(hào)如下:

產(chǎn)品 升級包版本 升級包下載鏈接
IPS/IDS規(guī)則包 5.6.9.25418 5.6.10.25418 5.6.11.25418 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.9 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11
UTS規(guī)則包 5.6.10.25418 http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0
NF規(guī)則包 6.0.1.850 6.0.2.850 http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.1 http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.2

八、IOCs

835f242dde220cc76ee5544119562268

7d1807850275485397ce2bb218eff159

8cc83221870dd07144e63df594c391d9

主機(jī)特征:

%TEMP%\MsMpEng.exe

%TEMP%\Mpsvc.dl

 
 
 
合作伙伴
微軟中國 | 聯(lián)想集團(tuán) | IBM | 蘋果電腦 | 浪潮集團(tuán) | 惠普中國 | 深信服 | 愛數(shù)軟件 | 華為
六安市永辰科技有限公司 版權(quán)所有 © Copyright 2010-2021 All Rights 六安市淠望路103號(hào) 最佳瀏覽效果 IE8或以上瀏覽器
訪問量:2984234    皖I(lǐng)CP備11014188號(hào)-1