安全预警:GandCrab4.0勒索变种来袭
  

SANGFOR_智安全 4191

{{ttag.title}}
本帖最后由 某公司_智安全 于 2018-8-31 18:20 编辑

安全预警:GandCrab4.0勒索变种来袭

近日,某公司安全团队发现GandCrab4.0活跃度提升,跟踪到多起GandCrab4.0变种勒索事件,现发布安全预警,提醒广大用户预防GandCrab4.0勒索。

GandCrab4.0变种采用RSA+AES加密算法,将系统中的大部分文档文件加密为.KRAB后缀的文件,然后对用户进行勒索。该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。

病毒名称:GandCrab4.0变种
病毒性质:勒索病毒
影响范围:大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦等国家,近期开始在国内活跃
危害等级:高危
传播方式:邮件、漏洞、垃圾网站挂马等方式传播,不具备内网传播能力
病毒分析
病毒描述
GandCrab勒索病毒是2018年上半年传播范围最广、攻击频率最高的勒索病毒之一。该勒索家族于201801月被首次发现后,短短几个月的时间,就连续出现了V1.0,V2.0,V2.1,V3.0,V4.0等变种,非常活跃,目前此勒索病毒采用RSA+AES加密算法,无法被解密。

该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。

图片1.jpg

样本分析
该勒索病毒的场景流程图如下所示:
图片2.png
§
混淆加密&&内存解密:
§
样本经过多层封装与代码混淆,代码会经过几层解密操作,在内存中解密出勒索病毒Payload代码,最后进行内存拷贝,属性更改之后,跳转到相应的勒索Payload入口点执行勒索操作。
图片3.jpg
§
提升权限:
§
进行自我提权,将病毒自身的进程权限提高,以更高权限执行任意操作。
§
杀进程:
§
该勒索软件进行遍历进程的操作,并结束相关的进程,相关的进程列表如下:
图片4.png
§
区域豁免:
§
该病毒对俄罗斯、乌兹别克斯坦、亚利桑那州等区域进行了保护,做了主机豁免的动作,通过查询操作系统安装的输入法和操作系统语言版本,确定是否豁免主机。
§
生成公钥:
§
利用程序中硬编码的数据,生成加密RSA的公钥public
图片5.jpg
§
加密文件:
§
遍历主机文件目录,生成以.KRAB为后缀的加密文件,如下图所示:
图片6.png
§
删除卷影:
§
加密完成之后,通过ShellExecuteW函数调用wmic.exe程序,删除磁盘卷影。
§
最后,弹出勒索信息文件
§
图片7.jpg
解决方案
某公司提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。
病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
2、某公司EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
病毒防御
1及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份
3不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限
5更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6GandCrab勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
l 某公司下一代防火墙RDP封堵配置步骤:
1) 针对内网对外发布RDP协议的主机,建议如无特殊要求,关闭对外的RDP
通信,通过【策略】——【访问控制】——【应用控制策略】——“新增”。开启“应用控制策略”功能,拦截指定源到目的的“rdp协议”具体参照下图:
图片8.png
l 某公司EDR配置封堵RDP步骤:
1) 使用EDR的微隔离功能封堵RDP协议端口3389。将需要进行防护的终端加入到自定义分组中(在默认分组时微隔离不生效)建议置业务终端组和用户终端组两个。
图片9.png
2) 将需要进行RDP封堵的业务、终端加入到该组中。
图片10.png
3) 配置“业务微隔离”策略和“终端微隔离”策略。
图片11.png
图片12.png
若业务或终端已经分配到多个组,按以上的策略配置但需修改服务提供者为对应的终端。
7、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启
此功能并启用110800511108002711080016规则,EDR开启防爆破功能可进行防御。
l 某公司下一代防火墙防爆破配置步骤:
1) 确认当前设备规则库版本
确认IPS漏洞特征识别库版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
图片13.png
2) 开启安全功能
针对RDP暴力破解,开启暴力破解防护功能,【策略】——【安全防护策略】——“新增”——“业务防护策略”。开启“漏洞攻击防护”功能,具体参照下图:
图片14.png
图片15.png
l EDR防爆破配置步骤:
1) 开启暴力破解实时检测功能,【设置】---【安全设置】勾选“开启暴
破解实时检测”;自动封堵时间可自定义,当检测出windowsRDP暴力破解时可以自动进行封堵。
图片16.png
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。
图片17.jpg
咨询与服务
您可以通过以下方式联系我们,获取关于
GandCrab的免费咨询及支持服务:
1拨打电话400-630-64306号线(已开通勒索软件专线)
2关注某公司技术服务微信公众号,选择智能服务菜单,进行咨询
3PC端访问某公司社区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询
详情见附件》》》
【解决方案版】安全预警:GandCrab4.0勒索变种来袭 .docx (1.66 MB, 下载次数: 39)

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

吾闲逛 发表于 2018-9-6 17:51
  
牛逼了,我的小哥哥,讲解的真好!原理性的东西看不懂
朱墩2 发表于 2018-9-7 21:01
  
收藏了  我想问下  为什么我在自己的电脑里运行edr查杀工具  我的电脑就蓝屏  
主动出击 发表于 2018-9-10 16:18
  
感谢,查杀工具下载了。
新手683057 发表于 2018-9-13 09:35
  
勒索病毒,太可恶了。幸好不具备内网传播。危险性降低了好多。杀毒软件可以防范此类病毒吗?
新手486484 发表于 2021-4-24 23:12
  
充电充电                              
新手486484 发表于 2021-7-10 21:04
  
学习到了 很棒的分享                       
玉米 发表于 2021-7-10 21:22
  
学习到了 很棒的分享                       
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
标准化排查
秒懂零信任
自助服务平台操作指引
新版本体验
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

217
272
151

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人