GandCrab勒索蓝屏变种DeepBlue【解决方案版】
  

SANGFOR_智安全 Lv8发表于 2019-5-10 10:30

背景概述

近日,深信服安全团队接到多客户反馈,其中了勒索病毒,经分析为GandCrab勒索病毒最新变种,也叫DeepBlue,由于感染客户有明显的“蓝屏”现象,我们将其命名为GandCrab勒索蓝屏变种DeepBlue。

经深信服安全团队分析,该勒索病毒在功能代码结构上与GandCrab非常相似,同时应用了多种反调试和混淆方式,且似乎还处于不断调式的阶段,使用RSA+AES算法进行加密,加密文件后会使用随机字符串作为后缀,且更换桌面为深蓝色背景(标题题目会变),具体勒索特征如下:
516775cd4dcca9b6e9.png


释放勒索信息文件“加密后缀-readme.txt”或“加密后缀-HOW-TO-DECRYPT.txt”
83675cd4dce7cfabe.png


目前,该病毒暂时无法解密,已有多省份客户感染,包括但不限于政府、医药、教育行业,提醒广大用户提高防范。

入侵分析

深信服安全团队综合分析发现,GandCrab勒索变种变种DeepBlue入侵方式呈现多样化,以下入侵手段是截止目前收集到(不排除将来有更多入侵手段):

a、利用Confluence漏洞(CVE-2019-3396)

b、RDP暴力破解

c、FCKeditor编辑器漏洞

d、WebLogicwls9-async反序列化远程命令执行漏洞

该攻击者(团伙)近期活跃频繁,且惯用手法是利用多种可能存在漏洞传播勒索病毒,入侵用户终端,并且疑似在开发新型的勒索病毒家族变种。

病毒详细分析

1.样本母体使用各种加密操作,解密出第一层Payload代码,再解密出勒索核心Payload代码,如下所示:
209375cd4dcffb1c6f.png

2.提升进程权限。

3.内存中解密出勒索信息文本,生成随机勒索信息文本文件名:[随机数字字符串]+[-readme.txt],如下所示:
885725cd4dd350b21e.png

4.遍历进程,结束mysql.exe进程。

5.通过cmd.exe执行相应的命令,删除磁盘卷影,如下所示:
640215cd4dd54682e5.png

6.遍历磁盘文件目录,遍历共享文件目录,遍历磁盘文件,加密文件,使用RSA+AES算法进行加密,如下所示:
775645cd4dd817f345.png

7.生成勒索信息桌面图片,更改桌面背景图片。

8.从内存中解密出来的域名列表中,选取一个然后进行URL拼接,拼接出来的URL,然后发送相应的数据。


解决方案


1EDR
针对“GandCrab勒索蓝屏变种Sodinokibi”病毒检测,EDR需要开启病毒查杀、防暴力破解。
①   更新病毒库
更新病毒库到20190507134353及以上版本,即可对GandCrab勒索蓝屏变种Sodinokibi进行查杀。
l  EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。
600925cd4dd93503a3.png

l  EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all
706625cd4ddab8a44e.png

病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。
987025cd4ddc9f1c2f.png

②开启防暴力破解和病毒查杀
(1)针对内网终端新增终端安全策略,开启暴力破解检测、病毒查杀、定时查杀,如下图:
359875cd4ddf72fdbb.png


371495cd4de038028e.png


(2)对内网终端进行进行一次全盘查杀,检查是否发现病毒,如下图:
460345cd4dea6de666.png
7175cd4deacadd7e.png


2、SIP识别
更新IOC情报库
平台能上网环境中,可自动更新IOC情况库到2019-05-08。更新后如下日期。
93925cd4debb7f063.png


②离线更新IOC情况库
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all
602995cd4decf03f91.png

点击手动导入,上传IOC情况库
262075cd4deef33aa8.png

527345cd4dede13f8e.png

更新后如下日期。
977955cd4df05c395a.png

3、AF
①确认当前设备版本
要求防火墙软件版本为AF8.0.5及以上,同时开启SAVE杀毒功能模块,如下图:
334935cd4df1798c53.png

②开启安全功能
针对此次的“GandCrab勒索蓝屏变种Sodinokibi”防护,SANGFOR AF建议针对【内网有上网权限主机】,开启“SAVE安全智能文件检测”功能。配置如下:
【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:
680195cd4df275c9e1.png

604995cd4df2d70175.png

567975cd4df36035b4.png

咨询与服务

您可以通过以下方式联系我们,获取关于

GandCrab的免费咨询及支持服务:

1)拨打电话400-630-6430转6号线(已开通勒索软件专线)

2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询

3)PC端访问深信服区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

adds Lv23发表于 2019-5-12 21:14
  
图片不清晰。点击后放大虚化。
头像被屏蔽
孟宪粉 发表于 2019-5-17 12:00
  
提示: 作者被禁止或删除 内容自动屏蔽
熬成婆 Lv3发表于 2019-5-19 21:23
  
不错,EDR和AF都需要做相应操作
王延浩 Lv2发表于 2019-5-20 14:54
  
不错不错,学习了
白露为霜 Lv3发表于 2019-5-21 11:56
  
实用的案例,感谢楼主分享。
新手915440 Lv9发表于 2019-5-21 20:42
  
图片看不清,感谢楼主分享
黄波 Lv4发表于 2019-5-22 08:49
  
很好 的帖子!!!!!!!!!!!
黄波 Lv4发表于 2019-5-22 08:51
  


很好 的帖子!!!!!!!!!!!

×
有话想说?点这里!
可评论、可发帖

本版版主

48
34
1

发帖

粉丝

关注

本版热帖

本版达人

SANGFOR...

本周分享达人