|
近日,某公司安全团队监测到一种名为incaseformat的病毒,全国各个区域都出现了被incaseformat病毒删除文件的用户。经调查,该蠕虫正常情况下表现为文件夹蠕虫,集中爆发是由于病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能,爆发该蠕虫事件的用户感染时间应该早于1月13号,根据分析推测,下次触发删除文件行为的时间约为2021年1月23日和2月4日。
【病毒分析】 该蠕虫病毒运行后会检测自身执行路径,如在windows目录下则会将其他磁盘的文件进行遍历删除,并留下一个名为incaseformat.log的空文件: 若当前执行路径不在windows目录,则自复制在系统盘的windows目录下,并创建RunOnce注册表值设置开机自启: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 值: C:\windows\tsay.exe
情况看似简单,但令人不解的是,该蠕虫是通过什么方式进行传播的呢?又为何会集中爆发? 经过安全专家对病毒文件和威胁情报的详细分析,有了新的发现。该蠕虫病毒由Delphi语言编写,最早出现于2009年,此后每年都有用户在网络上发帖求助该病毒的解决方案: 正常情况下,该病毒表现为一种文件夹蠕虫,和其他文件夹蠕虫病毒一样,通过文件共享或移动设备进行传播,并会在共享目录或移动设备路径下将正常的文件夹隐藏,自己则伪装成文件夹的样子。 然而,与其他文件夹蠕虫不同的是,incaseformat蠕虫病毒在代码中内置了一颗“定时炸弹”,蠕虫会获取受感染主机的当前时间,然后通过EncodeDate和EncodeTime函数进行聚合: 获取到时间后,程序与指定的时间进行了比对,触发文件删除的条件为: 年份>2009,月份>3,日期=1 或日期=10 或日期=21 或日期=29 自2009年起,每年4月后的1号、10号、21号和29号会触发删除文件操作: 然后通过DecodeDate函数拆分日期,奇妙的是,该程序中的Delphi库可能出现了错误,导致转换后的时间与真实的主机时间并不相符,因此真实触发时间与程序设定条件不相同(原本2010年4月1日愚人节启动时间,错误转换成为2021年1月13日): 分析人员计算随后会触发删除文件操作的日期为,2021年1月23和2月4号: 深入分析发现,导致病毒计算日期发生错误的原因是由于DecodeDate中,DateTimeToTimeStamp用于计算的一个变量发生异常: 由于文件夹蠕虫感染后没有给主机带来明显的损失,大多数用户都会疏于防范,且文件蠕虫主要通过文件共享和移动设备传播,一旦感染后容易快速蔓延内网,很多此次爆发现象的主机可能在很早前就已经感染。
【解决方案】 对此,某公司安全团队针对该蠕虫病毒向广大用户提出防范建议!
若未出现感染现象(其他磁盘文件还未被删除): 1、勿随意重启主机,先使用安全软件进行全盘查杀,并开启实时监控等防护功能; 2、不要随意下载安装未知软件,尽量在官方网站进行下载安装; 3、尽量关闭不必要的共享,或设置共享目录为只读模式;某公司EDR用户可使用微隔离功能封堵共享端口; 4、严格规范U盘等移动介质的使用,使用前先进行查杀; 5、重要数据做好备份;
若已出现感染现象(其他磁盘文件已被删除): 1、使用安全软件进行全盘查杀,清除病毒残留; 2、可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复;
某公司为广大用户提供免费查杀工具,可下载如下工具,进行检测查杀: 64位系统下载链接: http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z 32位系统下载链接: http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
与此同时,某公司安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁。 【某公司EDR平台(EDR)】 某公司终端检测响应平台(EDR)用户,可以按照如下步骤,针对勒索病毒,开启病毒查杀、勒索病毒防护、防暴力破解。 1、更新病毒库 更新病毒库到最新版本,即可对最新的勒索病毒进行查杀。 某公司EDR管理平台能连接互联网情况,通过以下界面检查EDR管理平台是否完成自动更新。 某公司EDR管理平台不能联网情况,通过以下地址下载离线病毒库,导入EDR管理平台更新。 病毒库需要解压,得到pkg文件,通过以下界面导入EDR管理平台。 2、开启安全策略 (1)启用实时防护策略 针对内网终端和服务器所在分组启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测,配置如下图:
(2)启用病毒查杀策略 针对内网windows终端启用病毒查杀策略,配置定时查杀,配置如下图:
对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图: (3)启用告警策略,当检测到内网有攻击事件时,立即邮件告警通知管理员 配置发送告警邮件服务器,如下图:
配置告警策略,如下图:
配置告警邮件发送频率和收件人地址,如下图:
【某公司下一代防火墙(AF)】 某公司下一代防火墙(AF)用户,可以按照如下步骤,开启病毒查杀防护。 1、确认当前设备软件升级 要求防火墙软件版本为AF8.0.5及以上,建议保持在AF8.0.26及以上,以获取更好的防护效果。同时开启SAVE杀毒功能模块,如下图:
2、确认当前规则库更新 要求AF的【SAVE安全智能文件检测模型库】更新到最新版本,如下图: 3、开启安全功能 针对此次【incaseformat病毒】防护,某公司 AF建议针对访问流量可经过AF的主机,开启 “SAVE安全智能文件检测”功能,配置如下: 【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:
4、开启高危端口封堵 梳理网络中可不必对外开放的相应高危端口,如远程桌面、网络共享等使用的端口,通过ACL策略进行封堵,减少暴露面,提高安全有效性,配置如下:
1)定义网络对象 【对象】-【网络对象】,新增一个【IP组】,把不需要对外开放高危端口的主机定义出来,配置如下:
2)定义服务对象 【对象】-【服务】-【自定义服务】,新增一个【服务】,把tcp:3389和tcp:445定义出来,配置如下:
3)新增ACL策略 【策略】-【访问控制】-【应用控制策略】,新增一个【应用控制策略】,封堵第1步新增目标对象的445和3389端口。配置如下:
5、安全云鉴接入 最后,建议AF可以接入某公司【云鉴】,提升后续未知威胁的防护能力及威胁情报数据的实时获取,配置如下:
【某公司安全感知平台(SIP)】 某公司安全感知平台(SIP)用户,可以按照如下步骤,针对病毒文件,离线更新最新的文件威胁特征识别库和文件智能分析模型库,支持检测感知最新病毒入侵行为。 1、更新文件威胁情报库
需要更新文件威胁特征识别库和文件智能分析模型库到最新日期即可。 文件威胁特征识别库和只支持手动更新,需要到bbs上下载规则库 https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all/undefined
下载完成后,为zip包,无需解压,直接导入sip控制台 文件威胁特征识别库:
点击确认开始导入 文件智能分析模型库:
点击确认开始导入 更新后如下日期即可
【咨询与服务】 您可以通过以下方式联系我们,获取关于incaseformat的免费咨询及支持服务: 1)拨打电话400-005-5530专线 2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询 3)PC端访问某公司社区:bbs.sangfor.com.cn,选择右侧智能客服,进行咨询
| 
发表于 2021-8-31 12:58
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员2级