来势汹汹,不到一月余已有多家海外企业遭受新型勒索Hive毒手

发布者:深信服千里目
发布于:2021-08-07 10:40

事件背景

近日,深信服终端安全团队捕获到了HIVE勒索病毒的样本,和其他勒索病毒一样,该勒索病毒会将终端上的文件加密病毒留下勒索信,且HIVE勒索团伙会在加密文件前进行数据窃取,受害者除却业务宕机之外,也存在数据泄露的风险。

根据海外媒体报道,7月初加拿大商业地产软件解决方案公司 Altus Group正是遭受Hive勒索攻击导致数据泄露。且安全研究人员发现,不到一个月,该勒索团伙已公布了多家企业的数据信息。

/图源于网络:Hive网站上的数据条目/

样本分析

勒索方式

Hive勒索病毒采用AES+RSA加密算法,在执行后,受害者终端上大部分文件会被加密成*.hive的文件。

并且会在每一个目录下留下一个HOW TO DECRYPT的文本文档,受害者可根据文档中的账号密码登陆黑客提供的网站后用赎金换取解密密钥。

Go语言编译

通过对样本的分析,发现该勒索病毒是一个用Go语言编写开发的可执行文件,并且使用了UPX进行压缩,安全研究人员通过对文件解压以后进行了分析:

其main函数中通过调用go的flag包来设置一些默认的执行参数:

 

其中使用go的正则表达式regexp,来关闭sql、oracle、redis等数据库服务,遍历当前进程列表,关闭mspub以及msdesktop相关进程,同时会跳过一些无需加密的文件,如后缀为.lnk的快捷方式文件。

另外扫描磁盘以及加密文件的操作也都是利用go的协程来执行的,在函数返回前利用Wait函数同步协程执行完毕。

扫描计算机的存储设备:


可以看出病毒不仅会尝试读取计算机硬盘中的文件,移动存储设备中的文件也会被尝试读取并加密。并且在这个函数中会再次创建一个协程用来生成要加密的文件绝对路径:

加密过程:

病毒首先生成加密秘钥:


生成进程快照,遍历当前进程列表并结束相关的进程:


停止数据库相关服务,利用协程来完成:


为协程注册的匿名函数,停止服务:


加密过程中为协程注册匿名函数,生成*.hive的文件名:


对文件进行重命名以后调用加密函数对文件数据进行加密:


加密后重新写回文件:


找到自身路径并生成删除自身的bat命令,然后开始执行删除自身操作:


同时利用vssadmin命令来删除所有已安装卷影副本来防止磁盘中的数据被恢复:

通过分析,可以发现此病毒会生成用以勒索的文本和被害者登录网站的用户名和密码。在完成对被害者的文件加密之后,写入文本文档。

深信服产品解决方案

1.深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

2.深信服安全感知、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;

3.深信服安全产品集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒;

4.深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。

日常的加固和防御建议

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份,尽量关闭不必要的文件共享权限。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

5、如果业务上无需使用RDP的,建议关闭RDP。


声明:该文观点仅代表作者本人,转载请注明来自看雪