Sodinokibi勒索病毒运营团伙猖獗,针对国内用户大肆敛财
近日,全国多省大中型企业持续遭到勒索病毒攻击,经某公司安全团队分析排查,均为一款名为“Sodinokibi”的勒索病毒作祟。该勒索病毒家族的运营团伙近期异常活跃,针对国内众多行业发起攻击,以“先攻破一台,再覆盖全网”的手法,对用户内网主机投放勒索进行加密,受灾最严重的企业内网服务器基本瘫痪,每次遭受攻击解密所需赎金不下20万人民币。
病毒名称:Sodinokibi 病毒性质:勒索病毒 影响范围:目前国内多行业用户受感染 危害等级:高危 传播方式:通过漏洞利用、RDP暴力破解入侵
病毒剖析 1、蔓延迅猛,来势汹汹 早在今年4月,某公司安全团队首次发现了这款继承了GandCrab代码结构的勒索病毒,将其命名为“DeepBlue”勒索变种,其特点为使用随机加密后缀,并且加密后会修改主机桌面背景为深蓝色: 随后,国内外安全厂商纷纷发布Sodinokibi勒索病毒相关报告。某公司安全团队追踪Sodinokibi勒索家族发展时间轴: 据某公司安全团队统计,该勒索病毒问世以来,对国内各行业中的中大型用户进行无差别攻击,从感染行业分布图来看,安全防护较为薄弱的医疗卫生行业受灾较为严重,其他各行业均遭到不同程度的攻击: 2、高效攻击,手法专业 在该勒索病毒活动的初期,曾通过漏洞利用的手法来进行攻击,被披露的漏洞利用包括Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等。或许是漏洞利用的目标范围较小,攻击过程较为复杂,从7月份开始,该勒索病毒的攻击手法逐渐演变成较为简单高效的RDP爆破入侵。
主要攻击过程为,先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限,再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和PC进行加密,一台失陷,全网遭殃,具体示意图如下: 在溯源过程中,某公司安全团队多次发现攻击者遗留的工具包,主要包括了勒索病毒体、开源或已有的扫描工具、控制工具,以及攻击者自制的bat脚本类工具: 其中ProcessHacker、PCHunter、DefenderControl、xwdef等工具用于卸载用户主机的安全软件,关闭Windowsdefender功能,bat脚本主要用于删除系统备份,禁用系统功能等: 攻击者有时会使用mimikatz来抓取内网密码,在使用远程桌面登录或远程工具连接到各个目标主机,此时内网设备在攻击者眼中暴露无遗,危害难以估量: 3、Sodinokibi勒索病毒已形成产业化规模 实际上,Sodinokibi勒索病毒的爆发主要得益于其形成的产业化规模,即分布式团伙作案,每个人各司其职,按劳分配,多劳多得。首先,Sodinokibi勒索病毒运行成功后,会在主机上留下如下勒索信息,形成“随机后缀-readme.txt”的文档: 勒索信息中留了两个用于联系黑客的网页,一个是暗网聊天网页,一个是普通聊天网页,受害企业可以根据自身情况任意访问(联系)其中一个链接。访问该链接后,可以通过网页进行聊天,设计十分专业,用于黑客与受害企业就赎金问题进行协商。 实际上,该作案团伙已经形成一个产业化的团队,黑客不直接与受害企业沟通,而是雇佣了一批线上客服,7*24小时在线,负责与受害者沟通,并协商价格。
目前Sodinokibi勒索病毒的要价普遍偏高,多数是在3到6个比特币,其主要攻击对象是企业,尤其是中大型企业。该勒索病毒致使企业核心业务网络瘫痪,因此很多受害企业迫于无奈交了不少赎金。
Sodinokibi勒索病毒为产业化运作,故每个参与者都有相应的分成。某公司安全团队通过多次跟踪研究发现,当受害企业向黑客钱包转入比特币的时候,此钱包会分批次转入其它成员的钱包。
如下图所示,黑客在某次攻击成功后,将赎金分2批转给了4个钱包,分别是勒索病毒作者钱包、集成平台提供商钱包、线上客服钱包、统筹钱包。 勒索病毒作者、集成平台提供商属于薄利多销型,每一笔交易都有提成,所以单次提成比例虽低,但总数是非常客观;线上客服按劳分配,说服一个客户,就有一小笔提成。
每次攻击所得的赎金,主要由统筹钱包分配给了攻击者和组织运营者,攻击者是实际从事攻击企业的个人或者渗透团队,所以单次成功后的贡献比较大,而任何个人和团队都能参与到不同客户的攻击活动中来,类似销售团队,每成一单,提成都比较可观。整体上大部分的赎金给了组织运营者,其负责拉通了各个环节和资源,保障平台和团伙的正常运作。 大致抽象出其交易流程如下: 基于上述追踪,Sodinokibi勒索病毒的产业化运作模式形如: 解决方案 众所周知,企业系统脆弱性是企业被勒索病毒入侵的根因,很多企业内网核心服务器虽然开启了防爆破、强密码等保护,但普通PC仍存在漏洞、弱密码、高危端口暴露等诸多问题,才给了黑客可乘之机;而勒索病毒不同于其它病毒,其主要危害是短时间内威胁企业核心数据资产,因此当勒索病毒发生的时候,必须进行争分夺秒的事件响应,高效和专业才能将勒索病毒的危害迅速降到最低。
针对勒索病毒肆虐,严重影响用户业务安全的问题,某公司已有完整的解决方案,主要从系统脆弱性和事件响应高效性两个方向进行重点突破。
SIP一、SIP能连接互联网情况将IOC库到2019-8月5号 平台将会自动升级,也可以手动触发升级 更新完成后如下,更新到2019年8月5号的IOC库。
二、SIP不能连接互联网情况更新IOC库到2019年8月5号 https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all
导入完成后,如下,更新到2019年8月5号的IOC库。
EDR 针对Sodinokibi勒索病毒处理,EDR需要开启病毒查杀、勒索病毒防护、防暴力破解、修复系统漏洞补丁,服务器安全策略和客户端安全策略设置如下。
一、更新病毒库更新病毒库到20190810100720及以上版本,即可对Sodinokibi勒索病毒进行查杀。
1.1 EDR管理平台能连接互联网情况: 通过以下界面检查EDR管理平台是否完成自动更新。 1.2 EDR管理平台不能联网情况: 通过以下地址下载离线病毒库,导入EDR管理平台更新。 https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。 二、开启安全策略2.1 启用实时防护策略 针对内网服务器启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测、高级威胁防护,配置如下图: 针对内网客户端启用实时防护策略,开启文件实时监控、勒索病毒防护、高级威胁防护,配置如下图: 2.2 启用病毒查杀策略 针对内网windows系统(包括服务器和客户端)启用病毒查杀策略,配置定时查杀,配置如下图: 对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图: 2.3 启用漏洞修复策略 针对内网终端启用系统漏洞修复策略,配置如下图: 检测内网终端系统漏洞并进行修复,如下图: 不建议勾选“强制终端修复后立即重启”,修复完成后通知终端重启电脑。
AF 一、确认当前设备软件升级要求防火墙软件版本为AF8.0.5及以上,同时开启SAVE杀毒功能模块,如下图: 二、确认当前规则库更新要求防火墙软的规则库更新到最新,如下图: 三、开启安全功能针对此次的“Sodinokibi勒索病毒”防护,某公司 AF建议针对【内网有上网权限主机】,开启 “SAVE安全智能文件检测”功能。针对【需要对外提供RDP服务的主机】,开启“暴力破解”功能,配置如下: 3.1【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:
3.2【策略】-【安全策略】-【安全防护策略】界面,新增【业务防护策略】,如下:
四、安全云脑接入最后,建议AF可以接入某公司安全云脑,提升后续未知威胁的防护能力及威胁情报数据的实时获取,配置如下: 咨询与服务 您可以通过以下方式联系我们,获取关于Sodinokibi勒索病毒的免费咨询及支持服务: 1)拨打电话400-630-6430转6号线 2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询 3)PC端访问某公司区bbs.sangfor.com.cn,选择右侧智能客服,进行咨询 | 
发表于 2019-8-16 11:05
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级