背景概述

近日，深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件，攻击者通过MSSQL的xp_cmdshell执行系统命令，从C&C服务器下载并执行勒索病毒。执行的相关命令如下：

经安全专家分析，攻击者所使用的程序均通过.NET进行Gzip压缩封装，最终将C++编写的PE解压后注入到CasPol.exe进程（.NET的码访问安全性策略工具）执行，经分析为Remcos远控和GlobeImposter勒索病毒。.NET程序的编译时间为2020年11月30号：

而解压后获取到的真实勒索病毒体编译时间为2019年8月15日，已被威胁情报识别为GlobeImposter勒索病毒家族，程序结构也与此前分析无异：

威胁情报分析

通过威胁情报中心对该远控样本的C&C服务器地址89.39.107.61进行关联情报分析，查看到该远控样本最初是通过URL：195[.]3[.]146[.]180/CyberGuard.exe进行下载到本地；

请求访问IP地址：195.3.146.180，出现Apache2服务器的默认页面；

再结合云端情报监控，捕获到该IP地址在2020年12月5日又更新了上传了恶意样本server.exe，使用的下载url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等，推测该IP为攻击者持续更新攻击武器的服务器地址，且攻击者主要通过扫描数据库弱口令或漏洞进行入侵；

从云端安全设备告警信息中确认，该IP最初在2020年11月14日被识别为漏洞攻击使用IP，并在最近一个月内频繁进行攻击尝试；

攻击的目标当前主要瞄准政府、能源等多个行业，随着攻击者的武器库的持续更新，攻击者后续还会继续尝试其他入侵方式进行攻击，并很有可能扩散攻击对象范围；企业用户需要尽快做好安全加固，避免遭受损失。

远控程序分析

.NET程序经过混淆，动态挑时候发现其使用GzipStream类解压资源段的数据，得到一个PE文件，在内存中加载该PE文件并调用Dgjxnaq.Structs.Utils的PublishWorker方法：

复制自身到Start Menu\Programs\Police\hhide.exe：

修改注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders的Startup键值为%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Police，实现持久化：

解压第三层PE，是一个模块名为模块名为ClassLibrary3.dll的文件，其主要功能为加压真实的可执行文件并注入到.Net目录下的CasPol.exe中：

该文件是一个由C++编写的远控程序，从反编译后的字符串可以看出是Remcos家族的远控，版本为最新的2.7.2 Pro：

该远控程序具有如下功能：

• 获取计算机信息，使用RC4算法加密后发送到C&C服务器；

• 开启键盘记录器；

• 截屏发送C&C服务器；

• C&C服务器地址为89.39.107.61:2606；

勒索病毒分析

勒索病毒程序与远控程序相同，也是使用.NET进行了多次封装，多次使用使用Gzip解压资源数据，第一层解压的DLL文件首先在temp目录下释放了一个kill.bat，该脚本用于删除包括数据库、虚拟机、WEB、压缩软件、云等各类服务并结束相关进程：

同时，恶意程序在同目录下释放Ywikoaptapxf.vbs用于拉起和删除bat：

随后将自身复制到自启动目录下的一个新建目录Agust下，命名为Chinna.exe：

紧接着再解压两次嵌套的DLL，最终得到一个C++编写的可执行文件，将该文件注入"C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"进程：

该C++程序是一个已知的GlobeImposter勒索病毒，程序功能与之前的分析基本吻合，首先对自身进程进行提权操作，然后通过修改注册表来关闭Windows Defender：

通过注册表设置自启动：

遍历主机上的磁盘：

遍历目录，使用RSA算法对文件进行加密：

其中会跳过特定后缀文件和目录，避免加密系统文件导致系统崩溃：

加密完成后修改文件后缀：

在每个根目录下释放勒索信息文件：

深信服安全产品解决方案

1. 深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知、防火墙、EDR用户，建议及时升级最新版本，开启勒索防护策略，并接入安全云脑，使用云查服务以及时检测防御新威胁；

3. 深信服安全产品集成深信服SAVE人工智能检测引擎，拥有强大的泛化能力，精准防御未知病毒；

4. 深信服推出安全运营服务，通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁，安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。

基础加固

深信服安全团队再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：

1、及时给系统和应用打补丁，修复常见高危漏洞；

2、对重要的数据文件定期进行非本地备份；

3、不要点击来源不明的邮件附件，不从不明网站下载软件；

4、尽量关闭不必要的文件共享权限；

5、更改主机账户和数据库密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃；

6、如果业务上无需使用RDP的，建议关闭RDP功能，并尽量不要对外网映射RDP端口和数据库端口。