首页
论坛
课程
招聘

百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击

深信服千里目 2020-12-17 16:56

背景概述

近日,深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件,攻击者通过MSSQL的xp_cmdshell执行系统命令,从C&C服务器下载并执行勒索病毒。执行的相关命令如下:

 

 

经安全专家分析,攻击者所使用的程序均通过.NET进行Gzip压缩封装,最终将C++编写的PE解压后注入到CasPol.exe进程(.NET的码访问安全性策略工具)执行,经分析为Remcos远控和GlobeImposter勒索病毒。.NET程序的编译时间为2020年11月30号:

 

而解压后获取到的真实勒索病毒体编译时间为2019年8月15日,已被威胁情报识别为GlobeImposter勒索病毒家族,程序结构也与此前分析无异:

威胁情报分析

通过威胁情报中心对该远控样本的C&C服务器地址89.39.107.61进行关联情报分析,查看到该远控样本最初是通过URL:195[.]3[.]146[.]180/CyberGuard.exe进行下载到本地;

 

请求访问IP地址:195.3.146.180,出现Apache2服务器的默认页面;

 

 

再结合云端情报监控,捕获到该IP地址在2020年12月5日又更新了上传了恶意样本server.exe,使用的下载url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等,推测该IP为攻击者持续更新攻击武器的服务器地址,且攻击者主要通过扫描数据库弱口令或漏洞进行入侵;

 

从云端安全设备告警信息中确认,该IP最初在2020年11月14日被识别为漏洞攻击使用IP,并在最近一个月内频繁进行攻击尝试;

 

攻击的目标当前主要瞄准政府、能源等多个行业,随着攻击者的武器库的持续更新,攻击者后续还会继续尝试其他入侵方式进行攻击,并很有可能扩散攻击对象范围;企业用户需要尽快做好安全加固,避免遭受损失。

 

远控程序分析

.NET程序经过混淆,动态挑时候发现其使用GzipStream类解压资源段的数据,得到一个PE文件,在内存中加载该PE文件并调用Dgjxnaq.Structs.Utils的PublishWorker方法:


复制自身到Start Menu\Programs\Police\hhide.exe:

 

修改注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders的Startup键值为%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Police,实现持久化:

 

解压第三层PE,是一个模块名为模块名为ClassLibrary3.dll的文件,其主要功能为加压真实的可执行文件并注入到.Net目录下的CasPol.exe中:

 

该文件是一个由C++编写的远控程序,从反编译后的字符串可以看出是Remcos家族的远控,版本为最新的2.7.2 Pro:

 

 

该远控程序具有如下功能:

  • 获取计算机信息,使用RC4算法加密后发送到C&C服务器;

  • 开启键盘记录器;

  • 截屏发送C&C服务器;

  • C&C服务器地址为89.39.107.61:2606;

勒索病毒分析

勒索病毒程序与远控程序相同,也是使用.NET进行了多次封装,多次使用使用Gzip解压资源数据,第一层解压的DLL文件首先在temp目录下释放了一个kill.bat,该脚本用于删除包括数据库、虚拟机、WEB、压缩软件、云等各类服务并结束相关进程:

 

同时,恶意程序在同目录下释放Ywikoaptapxf.vbs用于拉起和删除bat:


随后将自身复制到自启动目录下的一个新建目录Agust下,命名为Chinna.exe:

 

紧接着再解压两次嵌套的DLL,最终得到一个C++编写的可执行文件,将该文件注入"C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"进程:

 

该C++程序是一个已知的GlobeImposter勒索病毒,程序功能与之前的分析基本吻合,首先对自身进程进行提权操作,然后通过修改注册表来关闭Windows Defender:


通过注册表设置自启动:


遍历主机上的磁盘:


遍历目录,使用RSA算法对文件进行加密:


其中会跳过特定后缀文件和目录,避免加密系统文件导致系统崩溃:


加密完成后修改文件后缀:


在每个根目录下释放勒索信息文件:

深信服安全产品解决方案

1. 深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

2. 深信服安全感知、防火墙、EDR用户,建议及时升级最新版本,开启勒索防护策略,并接入安全云脑,使用云查服务以及时检测防御新威胁;


3. 深信服安全产品集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒;

4. 深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。

基础加固

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给系统和应用打补丁,修复常见高危漏洞;

2、对重要的数据文件定期进行非本地备份;

3、不要点击来源不明的邮件附件,不从不明网站下载软件;

4、尽量关闭不必要的文件共享权限;

5、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;

6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口。


分享到:
最新评论 (0)
登录后即可评论