|
背景概述
近日,某公司安全团队接到多客户反馈,其中了勒索病毒,经分析为GandCrab勒索病毒最新变种,也叫DeepBlue,由于感染客户有明显的“蓝屏”现象,我们将其命名为GandCrab勒索蓝屏变种DeepBlue。
经某公司安全团队分析,该勒索病毒在功能代码结构上与GandCrab非常相似,同时应用了多种反调试和混淆方式,且似乎还处于不断调式的阶段,使用RSA+AES算法进行加密,加密文件后会使用随机字符串作为后缀,且更换桌面为深蓝色背景(标题题目会变),具体勒索特征如下:
释放勒索信息文件“加密后缀-readme.txt”或“加密后缀-HOW-TO-DECRYPT.txt”
目前,该病毒暂时无法解密,已有多省份客户感染,包括但不限于政府、医药、教育行业,提醒广大用户提高防范。
入侵分析
某公司安全团队综合分析发现,GandCrab勒索变种变种DeepBlue入侵方式呈现多样化,以下入侵手段是截止目前收集到(不排除将来有更多入侵手段):
a、利用Confluence漏洞(CVE-2019-3396)
b、RDP暴力破解
c、FCKeditor编辑器漏洞
d、WebLogicwls9-async反序列化远程命令执行漏洞
该攻击者(团伙)近期活跃频繁,且惯用手法是利用多种可能存在漏洞传播勒索病毒,入侵用户终端,并且疑似在开发新型的勒索病毒家族变种。
病毒详细分析
1.样本母体使用各种加密操作,解密出第一层Payload代码,再解密出勒索核心Payload代码,如下所示:
2.提升进程权限。
3.内存中解密出勒索信息文本,生成随机勒索信息文本文件名:[随机数字字符串]+[-readme.txt],如下所示: 4.遍历进程,结束mysql.exe进程。
5.通过cmd.exe执行相应的命令,删除磁盘卷影,如下所示:
6.遍历磁盘文件目录,遍历共享文件目录,遍历磁盘文件,加密文件,使用RSA+AES算法进行加密,如下所示:
7.生成勒索信息桌面图片,更改桌面背景图片。
8.从内存中解密出来的域名列表中,选取一个然后进行URL拼接,拼接出来的URL,然后发送相应的数据。
解决方案
1、EDR
针对“GandCrab勒索蓝屏变种Sodinokibi”病毒检测,EDR需要开启病毒查杀、防暴力破解。
① 更新病毒库
更新病毒库到20190507134353及以上版本,即可对GandCrab勒索蓝屏变种Sodinokibi进行查杀。
l EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。
l EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。
②开启防暴力破解和病毒查杀
(1)针对内网终端新增终端安全策略,开启暴力破解检测、病毒查杀、定时查杀,如下图:
(2)对内网终端进行进行一次全盘查杀,检查是否发现病毒,如下图:
2、SIP识别
①更新IOC情报库
平台能上网环境中,可自动更新IOC情况库到2019-05-08。更新后如下日期。
②离线更新IOC情况库
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all
点击手动导入,上传IOC情况库
更新后如下日期。
3、AF
①确认当前设备版本
要求防火墙软件版本为AF8.0.5及以上,同时开启SAVE杀毒功能模块,如下图:
②开启安全功能
针对此次的“GandCrab勒索蓝屏变种Sodinokibi”防护,某公司 AF建议针对【内网有上网权限主机】,开启“SAVE安全智能文件检测”功能。配置如下:
【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:
咨询与服务
您可以通过以下方式联系我们,获取关于
GandCrab的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通勒索软件专线)
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询
| 
发表于 2019-5-10 10:30
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师1级