新闻中心

      新闻中心  >  Gartner发布2020年需要探究的十大战略性技术趋势报告
      Gartner发布2020年需要探究的十大战略性技术趋势报告
      背景图 2019-10-23 00:00:00


      近日,,,,新未来梦想教育安全团队捕获到针对国内企业的新型勒索病毒攻击事件,,,,攻击者通过爆破获得跳板机权限后,,利用全套黑客工具包对内网主机进行渗透,,人工投放勒索病毒进行加密,,,,该勒索病毒加密邮箱与后缀为硬编码的字符串“.[DeAdmin@cock.li].DEADMIN”,,,,并在勒索信息文件中自命名为DEADMIN LOCKER,,,,该勒索暂无公开解密工具。。。

      ▲加密完成后在桌面及加密根目录释放勒索信息文件

      病毒名称:DEADMIN LOCKER

      病毒性质:勒索病毒

      影响范围:目前国内已有感染案例

      危害等级:高危

      传播方式:通过社会工程、、、RDP暴力破解入侵,,,并使用黑客工具包内网渗透

      病毒描述

      该勒索病毒主要利用全套黑客工具包对内网主机进行渗透,,人工投放勒索病毒进行加密。。。在被勒索的主机上获取到攻击者留下的全套黑客工具包,,,,包含从密码收集到远程登录等一系列内网渗透工具,,,可谓是一应俱全,,,,其中包含较为小众的AutoMIMI、、Lazy、、、、rdp_con、、gmer等工具,,甚至包含名为!RDP的快捷方式,,,,用于启动本地远程桌面连接:

      黑客工具包包含:

      密码抓取:AutoMIMI、、、mimi、、、netpass64.exe、、、、Lazy

      内网扫描:masscan、、、、!PortScan、、、Advanced_Port_Scanner、、、NetworkShare

      密码爆破: NLBrute 远程工具:psexec、、!RDP、、、rdp_con

      反杀软工具:gmer、、、PCHunter64、、、、PowerTool、、、PowerTool_64、、、ProcessHacker64

      勒索病毒入侵攻击流程:

      • 本地提权后,,,使用mimikatz抓取主机密码,,,,在此过程中,,,,黑客写了自动化脚本launch.vbs来简化抓取密码的步骤。。。
      • 黑客将抓取到的密码加入后续的爆破字典中,,,原因是管理员一般会将多个服务器的密码设置成相同的,,,将本机密码加入字典,,可以增大爆破的成功率。。
      • 使用端口扫描器扫描内网中存活的IP,,并筛选开放了445和3389端口的主机。。。
      • 对于开放了3389端口的主机,,,黑客直接使用NLBrute进行爆破用户名和密码。。。。
      • 对于只开放了445端口的主机,,,,黑客通过爆破的方式获取主机的账号密码。。。
      • 然后使用psexec上传脚本至目标主机并运行,,开启RDP服务。。。
      • 获取到以上爆破成功的主机后,,,使用rdp_con工具进行批量连接。。。

      RDP连接到受害主机后,,黑客会上传一系列反杀软工具,,kill杀毒软件,,,,最后运行勒索病毒进行勒索,,至此,,,,整个勒索入侵的流程完成。。。

       

      勒索病毒详细分析

      • 勒索病毒文件使用UPX加壳,,,运行后首先调用了Winexec执行命令行删除磁盘卷影,,用于防止用户恢复数据
      • 关闭如下服务,,,,避免影响加密

      vmickvpexchange、、vmicguestinterface、、、、vmicshutdown、、、vmicheartbeat、、、vmicrdv、、、storflt、、vmictimesync、、、vmicvss、、MSSQLFDLauncher、、、、MSSQLSERVER、、SQLSERVERAGENT、、SQLBrowser、、、、SQLTELEMETRY、、MsDtsServer130、、、SSISTELEMETRY130、、、SQLWriter、、MSSQL、、SQLAgent、、、、MSSQLServerADHelper100、、MSSQLServerOLAPService、、、、MsDtsServer100、、ReportServer、、、TMBMServer、、、、postgresql-x64-9.4、、、UniFi、、、vmms、、、、sql-x64-9.4、、UniFi、、vmms

      • 遍历进程,,,结束下列进程,,防止进程占用文件影响加密

      sqlbrowser.exe、、、、sqlwriter.exe、、、sqlservr.exe、、msmdsrv.exe、、、MsDtsSrvr.exe、、sqlceip.exe、、、fdlauncher.exe、、、Ssms.exe、、、sqlserv.exe、、、oracle.exe、、、ntdbsmgr.exe、、、ReportingServecesService.exe、、、、fdhost.exe、、、SQLAGENT.exe、、、、ReportingServicesService.exe、、msftesql.exe、、、、pg_ctl.exe、、、、postgres.exe、、、UniFi.exe、、、sqlagent.exe、、ocssd.exe、、dbsnmp.exe、、、synctime.exe、、、、mydesctopservice.exe、、ocautoupds.exe、、、、agntsvc.exe、、、agntsvc.exe、、agntsvc.exe、、encsvc.exe、、、firefoxconfig.exe、、、tbirdconfig.exe、、、ocomm.exe、、、mysqld.exe、、、、mysqld-nt.exe、、、mysqld-opt.exe、、、、dbeng50.exe、、、、sqbcoreservice.exe、、excel.exe、、infopath.exe、、、msaccess.exe、、、、mspub.exe、、、、onenote.exe、、outlook.exe、、、powerpnt.exe、、steam.exe、、thebat.exe、、、、thebat64.exe、、、、thunderbird.exe、、、、visio.exe、、winword.exe、、wordpad.exe、、erbird.exe、、visio.exe、、、、winword.exe、、、、wordpad.exe

      • 生成密钥,,使用RSA算法加密AES密钥,,,,再使用AES算法加密文件
      • 在桌面创建一个勒索信息TXT文件,,然后通过遍历在每个加密文件的根目录下释放一个勒索信息TXT文件
      • 遍历磁盘进行加密,,,并且对C盘下的目录单独进行判断,,,,跳过系统目录
      • 加密完成后进行自删除

      解决方案

      针对已经出现勒索现象的用户,,,,由于暂时没有解密工具,,,,建议尽快对感染主机进行断网隔离。。。新未来梦想教育提醒广大用户尽快做好病毒检测与防御措施,,防范该病毒家族的勒索攻击。。。。

      病毒检测查杀

      • 新未来梦想教育终端检测响应平台(EDR)、、、、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,,,,部署相关产品用户可进行病毒检测
      • 新未来梦想教育为广大用户免费提供查杀工具,,,,可下载如下工具,,进行检测查杀

      64位系统下载链接:

      https://edr.haiyangqj.com/tool/SfabAntiBot_X64.7z

      32位系统下载链接:

      https://edr.haiyangqj.com/tool/SfabAntiBot_X86.7z

      病毒防御

      • 及时给电脑打补丁,,修复漏洞;
      • 对重要的数据文件定期进行非本地备份;
      • 不要点击来源不明的邮件附件,,不从不明网站下载软件;
      • 尽量关闭不必要的文件共享权限;
      • 更改账户密码,,,,设置强密码,,,,避免使用统一的密码,,,因为统一的密码会导致一台被攻破,,,多台遭殃;
      • 如果业务上无需使用RDP的,,,,建议关闭RDP;
      • 当出现此类事件时,,,推荐使用新未来梦想教育下一代防火墙,,或者EDR的微隔离功能对3389等端口进行封堵,,,防止扩散;
      • 新未来梦想教育下一代防火墙、、EDR均有防爆破功能,,下一代防火墙开启此功能并启用11080051、、、、11080027、、、11080016规则,,,EDR开启防爆破功能可进行防御;
      • 新未来梦想教育下一代防火墙用户,,,建议升级到AF805版本,,并开启SAVE安全智能检测引擎,,,,以达到最好的防御效果;
      • 新未来梦想教育EDR支持识别市面上大多数的流行黑客工具,,并具备主动拦截和禁止运行功能。。。新未来梦想教育EDR用户,,建议开启勒索防护功能,,精准拦截勒索病毒;
      • 使用新未来梦想教育安全产品,,,接入安全云脑,,,,使用云查服务可以即时检测防御新威胁;
      • 新未来梦想教育推出安全运营服务,,,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,,,针对此类威胁安全运营服务提供设备安全设备策略检查、、、、安全威胁检查、、、相关漏洞检查等服务,,确保第一时间检测风险以及更新策略,,,防范此类威胁。。。。

      最后,,,建议企业对全网进行一次安全检查和杀毒扫描,,,加强防护工作。。。推荐使用新未来梦想教育安全感知+下一代防火墙+EDR,,对内网进行感知、、、、查杀和防护。。

       

      咨询与服务

      您可以通过以下方式联系我们,,获取关于

      的免费咨询及支持服务:

      1)拨打电话400-630-6430转6号线(已开通勒索病毒专线)

      2)关注【新未来梦想教育技术服务】微信公众号,,选择“智能服务”菜单,,进行咨询

      3)PC端访问新未来梦想教育区

      bbs.haiyangqj.com,,,,选择右侧智能客服,,,进行咨询


      站点地图