全套黑客工具横行内网, 新型勒索病毒DEADMIN LOCKER盯上国内企业
  

SANGFOR_智安全 2038

本帖最后由 SANGFOR_智安全 于 2019-10-17 10:38 编辑

全套黑客工具横行内网,
新型勒索病毒DEADMIN LOCKER盯上国内企业


1.png

      近日,深信服安全团队捕获到针对国内企业的新型勒索病毒攻击事件,攻击者通过爆破获得跳板机权限后,利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密,该勒索病毒加密邮箱与后缀为硬编码的字符串“.[[url=mailtoeAdmin@cock.li]DeAdmin@cock.li[/url]].DEADMIN”,并在勒索信息文件中自命名为DEADMINLOCKER,该勒索暂无公开解密工具。
2.png
▲加密完成后在桌面及加密根目录释放勒索信息文件

病毒名称:DEADMIN LOCKER
病毒性质:勒索病毒
影响范围:目前国内已有感染案例
危害等级:高危
传播方式:通过社会工程、RDP暴力破解入侵,并使用黑客工具包内网渗透

病毒描述
      该勒索病毒主要利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密。在被勒索的主机上获取到攻击者留下的全套黑客工具包,包含从密码收集到远程登录等一系列内网渗透工具,可谓是一应俱全,其中包含较为小众的AutoMIMI、Lazy、rdp_con、gmer等工具,甚至包含名为!RDP的快捷方式,用于启动本地远程桌面连接:
3.png
黑客工具包包含:
密码抓取:AutoMIMI、mimi、netpass64.exe、Lazy
内网扫描:masscan、!PortScan、Advanced_Port_Scanner、NetworkShare
密码爆破: NLBrute
远程工具:psexec、!RDP、rdp_con
反杀软工具:gmer、PCHunter64、PowerTool、PowerTool_64、ProcessHacker64

勒索病毒入侵攻击流程:
1本地提权后,使用mimikatz抓取主机密码,在此过程中,黑客写了自动化脚本launch.vbs来简化抓取密码的步骤。
4.png
2黑客将抓取到的密码加入后续的爆破字典中,原因是管理员一般会将多个服务器的密码设置成相同的,将本机密码加入字典,可以增大爆破的成功率。
5.png
3使用端口扫描器扫描内网中存活的IP,并筛选开放了445和3389端口的主机。
6.png
4对于开放了3389端口的主机,黑客直接使用NLBrute进行爆破用户名和密码。
7.png
5对于只开放了445端口的主机,黑客通过爆破的方式获取主机的账号密码。
8.png
6然后使用psexec上传脚本至目标主机并运行,开启RDP服务。
9.png
7获取到以上爆破成功的主机后,使用rdp_con工具进行批量连接。
10.png
RDP连接到受害主机后,黑客会上传一系列反杀软工具,kill杀毒软件,最后运行勒索病毒进行勒索,至此,整个勒索入侵的流程完成。

勒索病毒详细分析

1勒索病毒文件使用UPX加壳,运行后首先调用了Winexec执行命令行删除磁盘卷影,用于防止用户恢复数据:
11.png

2关闭如下服务,避免影响加密:
vmickvpexchange、vmicguestinterface、vmicshutdown、vmicheartbeat、vmicrdv、storflt、vmictimesync、vmicvss、MSSQLFDLauncher、MSSQLSERVER、SQLSERVERAGENT、SQLBrowser、SQLTELEMETRY、MsDtsServer130、SSISTELEMETRY130、SQLWriter、MSSQL、SQLAgent、MSSQLServerADHelper100、MSSQLServerOLAPService、MsDtsServer100、ReportServer、TMBMServer、postgresql-x64-9.4、UniFi、vmms、sql-x64-9.4、UniFi、vmms
3遍历进程,结束下列进程,防止进程占用文件影响加密:
sqlbrowser.exe、sqlwriter.exe、sqlservr.exe、msmdsrv.exe、MsDtsSrvr.exe、sqlceip.exe、fdlauncher.exe、Ssms.exe、sqlserv.exe、oracle.exe、ntdbsmgr.exe、ReportingServecesService.exe、fdhost.exe、SQLAGENT.exe、ReportingServicesService.exe、msftesql.exe、pg_ctl.exe、postgres.exe、UniFi.exe、sqlagent.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesctopservice.exe、ocautoupds.exe、agntsvc.exe、agntsvc.exe、agntsvc.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、erbird.exe、visio.exe、winword.exe、wordpad.exe
4生成密钥,使用RSA算法加密AES密钥,再使用AES算法加密文件:
12.png
5在桌面创建一个勒索信息TXT文件,然后通过遍历在每个加密文件的根目录下释放一个勒索信息TXT文件:
13.png
6遍历磁盘进行加密,并且对C盘下的目录单独进行判断,跳过系统目录:
14.png
7加密完成后进行自删除:
15.png

解决方案
      针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

AF
一、确认当前设备软件升级
要求防火墙软件版本为AF8.0.5及以上,同时开启SAVE杀毒功能模块,如下图:
16.png
二、确认当前规则库更新
要求防火墙软的规则库更新到最新,如下图:
17.png
三 、开启安全功能
针对此次的“DEADMINLOCKER勒索病毒”防护,SANGFOR AF建议针对【内网有上网权限主机】,开启 “SAVE安全智能文件检测”功能。针对【需要对外提供RDP服务的主机】,开启“暴力破解”功能,配置如下:
1、【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:
18.png
19.png
20.png

2、【策略】-【安全策略】-【安全防护策略】界面,新增【业务防护策略】,如下:

21.png
22.png
23.png

四 、安全云脑接入
最后,建议AF可以接入深信服安全云脑,提升后续未知威胁的防护能力及威胁情报数据的实时获取,配置如下:
24.png
EDR
针对DEADMIN LOCKER勒索病毒处理,EDR需要开启病毒查杀、勒索病毒防护、防暴力破解,服务器安全策略和客户端安全策略设置如下:
一、更新病毒库
更新病毒库到20191014121452及以上版本,即可对DEADMIN LOCKER勒索病毒进行查杀。
1、EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。
25.png
2、EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all
26.png
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。
27.png
二、开启安全策略
1、启用实时防护策略
针对内网服务器启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测、高级威胁防护,配置如下图:
28.png
29.png
针对内网客户端启用实时防护策略,开启文件实时监控、勒索病毒防护、高级威胁防护,配置如下图:
30.png
31.png
2、启用病毒查杀策略
针对内网windows系统(包括服务器和客户端)启用病毒查杀策略,配置定时查杀,配置如下图:
32.png
对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图:
33.png
34.png
EDR查杀检测到EADMIN LOCKER勒索病毒如下图,并进行一键处置。
35.png

SIP
一、SIP能连接互联网情况
将IOC库到2019-10月16号,平台将会自动升级,也可以手动触发升级
36.png
更新完成后如下,更新到2019年10月16号的IOC库。
37.png

2、SIP不能连接互联网情况
更新IOC库到2019年10月16号
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all

38.png
39.png
40.png
导入完成后,如下,更新到2019年10月16号的IOC库。
41.png

咨询与服务
您可以通过以下方式联系我们,获取关于DEADMIN LOCKER的免费咨询及支持服务:
1)拨打电话400-630-64306号线(已开通勒索病毒专线)
2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问深信服区bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
5人已打赏

×
有话想说?点这里!
可评论、可发帖
发表新帖

本版热帖

本版达人