×

全套黑客工具横行内网, 新型勒索病毒DEADMIN LOCKER盯上国内企业
  

SANGFOR_智安全 142567人觉得有帮助

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-10-17 10:38 编辑

全套黑客工具横行内网,
新型勒索病毒DEADMIN LOCKER盯上国内企业



      近日,某公司安全团队捕获到针对国内企业的新型勒索病毒攻击事件,攻击者通过爆破获得跳板机权限后,利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密,该勒索病毒加密邮箱与后缀为硬编码的字符串“.[[url=mailtoeAdmin@cock.li]DeAdmin@cock.li[/url]].DEADMIN”,并在勒索信息文件中自命名为DEADMINLOCKER,该勒索暂无公开解密工具。
▲加密完成后在桌面及加密根目录释放勒索信息文件

病毒名称:DEADMIN LOCKER
病毒性质:勒索病毒
影响范围:目前国内已有感染案例
危害等级:高危
传播方式:通过社会工程、RDP暴力破解入侵,并使用黑客工具包内网渗透

病毒描述
      该勒索病毒主要利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密。在被勒索的主机上获取到攻击者留下的全套黑客工具包,包含从密码收集到远程登录等一系列内网渗透工具,可谓是一应俱全,其中包含较为小众的AutoMIMI、Lazy、rdp_con、gmer等工具,甚至包含名为!RDP的快捷方式,用于启动本地远程桌面连接:
黑客工具包包含:
密码抓取:AutoMIMI、mimi、netpass64.exe、Lazy
内网扫描:masscan、!PortScan、Advanced_Port_Scanner、NetworkShare
密码爆破: NLBrute
远程工具:psexec、!RDP、rdp_con
反杀软工具:gmer、PCHunter64、PowerTool、PowerTool_64、ProcessHacker64

勒索病毒入侵攻击流程:
1本地提权后,使用mimikatz抓取主机密码,在此过程中,黑客写了自动化脚本launch.vbs来简化抓取密码的步骤。
2黑客将抓取到的密码加入后续的爆破字典中,原因是管理员一般会将多个服务器的密码设置成相同的,将本机密码加入字典,可以增大爆破的成功率。
3使用端口扫描器扫描内网中存活的IP,并筛选开放了445和3389端口的主机。
4对于开放了3389端口的主机,黑客直接使用NLBrute进行爆破用户名和密码。
5对于只开放了445端口的主机,黑客通过爆破的方式获取主机的账号密码。
6然后使用psexec上传脚本至目标主机并运行,开启RDP服务。
7获取到以上爆破成功的主机后,使用rdp_con工具进行批量连接。
RDP连接到受害主机后,黑客会上传一系列反杀软工具,kill杀毒软件,最后运行勒索病毒进行勒索,至此,整个勒索入侵的流程完成。

勒索病毒详细分析

1勒索病毒文件使用UPX加壳,运行后首先调用了Winexec执行命令行删除磁盘卷影,用于防止用户恢复数据:

2关闭如下服务,避免影响加密:
vmickvpexchange、vmicguestinterface、vmicshutdown、vmicheartbeat、vmicrdv、storflt、vmictimesync、vmicvss、MSSQLFDLauncher、MSSQLSERVER、SQLSERVERAGENT、SQLBrowser、SQLTELEMETRY、MsDtsServer130、SSISTELEMETRY130、SQLWriter、MSSQL、SQLAgent、MSSQLServerADHelper100、MSSQLServerOLAPService、MsDtsServer100、ReportServer、TMBMServer、postgresql-x64-9.4、UniFi、vmms、sql-x64-9.4、UniFi、vmms
3遍历进程,结束下列进程,防止进程占用文件影响加密:
sqlbrowser.exe、sqlwriter.exe、sqlservr.exe、msmdsrv.exe、MsDtsSrvr.exe、sqlceip.exe、fdlauncher.exe、Ssms.exe、sqlserv.exe、oracle.exe、ntdbsmgr.exe、ReportingServecesService.exe、fdhost.exe、SQLAGENT.exe、ReportingServicesService.exe、msftesql.exe、pg_ctl.exe、postgres.exe、UniFi.exe、sqlagent.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesctopservice.exe、ocautoupds.exe、agntsvc.exe、agntsvc.exe、agntsvc.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、erbird.exe、visio.exe、winword.exe、wordpad.exe
4生成密钥,使用RSA算法加密AES密钥,再使用AES算法加密文件:
5在桌面创建一个勒索信息TXT文件,然后通过遍历在每个加密文件的根目录下释放一个勒索信息TXT文件:
6遍历磁盘进行加密,并且对C盘下的目录单独进行判断,跳过系统目录:
7加密完成后进行自删除:

解决方案
      针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

AF
一、确认当前设备软件升级
要求防火墙软件版本为AF8.0.5及以上,同时开启SAVE杀毒功能模块,如下图:
二、确认当前规则库更新
要求防火墙软的规则库更新到最新,如下图:
三 、开启安全功能
针对此次的“DEADMINLOCKER勒索病毒”防护,某公司 AF建议针对【内网有上网权限主机】,开启 “SAVE安全智能文件检测”功能。针对【需要对外提供RDP服务的主机】,开启“暴力破解”功能,配置如下:
1、【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:

2、【策略】-【安全策略】-【安全防护策略】界面,新增【业务防护策略】,如下:


四 、安全云脑接入
最后,建议AF可以接入某公司安全云脑,提升后续未知威胁的防护能力及威胁情报数据的实时获取,配置如下:
EDR
针对DEADMIN LOCKER勒索病毒处理,EDR需要开启病毒查杀、勒索病毒防护、防暴力破解,服务器安全策略和客户端安全策略设置如下:
一、更新病毒库
更新病毒库到20191014121452及以上版本,即可对DEADMIN LOCKER勒索病毒进行查杀。
1、EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。
2、EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。
二、开启安全策略
1、启用实时防护策略
针对内网服务器启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测、高级威胁防护,配置如下图:
针对内网客户端启用实时防护策略,开启文件实时监控、勒索病毒防护、高级威胁防护,配置如下图:
2、启用病毒查杀策略
针对内网windows系统(包括服务器和客户端)启用病毒查杀策略,配置定时查杀,配置如下图:
对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图:
EDR查杀检测到EADMIN LOCKER勒索病毒如下图,并进行一键处置。

SIP
一、SIP能连接互联网情况
将IOC库到2019-10月16号,平台将会自动升级,也可以手动触发升级
更新完成后如下,更新到2019年10月16号的IOC库。

2、SIP不能连接互联网情况
更新IOC库到2019年10月16号
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all

导入完成后,如下,更新到2019年10月16号的IOC库。

咨询与服务
您可以通过以下方式联系我们,获取关于DEADMIN LOCKER的免费咨询及支持服务:
1)拨打电话400-630-64306号线(已开通勒索病毒专线)
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司区bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

打赏鼓励作者,期待更多好文!

打赏
16人已打赏

盘藤 发表于 2019-10-18 07:30
  
谢谢,赶紧防御。
marco 发表于 2019-10-18 09:17
  
谢谢分享。。。。。。。。
D调的土豆 发表于 2019-10-18 10:40
  
勒索病毒真的是越来越多了
NONO 发表于 2019-10-18 10:40
  
谢谢分享
marco 发表于 2019-10-19 06:43
  
太详细了,点赞
tyr 发表于 2019-10-19 11:32
  
涨姿势了
新手627798 发表于 2019-10-19 15:08
  
太详细了,点赞
ie5000 发表于 2019-10-20 08:51
  
保姆式教学,赞赞赞
marco 发表于 2019-10-21 09:32
  
很详细,再次点赞。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人