新型勒索病毒Attention感染医疗与半导体行业
  

SANGFOR_智安全 3021

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-5-31 09:48 编辑


背景概述
    近日,某公司安全团队检测到一种新的勒索病毒正在活跃,攻击者针对制造行业、医疗行业等目标,通过社会工程、RDP远程爆破等方式手动投放勒索病毒,且进行加密后会人工删除勒索病毒体和入侵日志。
    该勒索病毒加密后会修改文件后缀为大写的随机[10-12]个英文字母,使用RAS+AES算法加密文件,并释放勒索信息文件,运行后会进行自复制,但通常情况下复制体会被攻击者手动删除。某公司安全团队将该勒索病毒命名为Attention勒索病毒,并进行了详细的分析。


勒索特征
1.勒索信息文件YOUR FILES ARE ENCRYPTED.TXT,如下所示:
699365cf08431d5f2d.png

2.加密后的文件后缀为大写字母的随机[10-12]个英文字母,前三个字母相同,如下所示:
93085cf08442d37f9.png


详细分析

1.在%temp%目录下生成随机的文件B3A9A362.ghost,然后将00写入到文件中,如下所示:
969575cf0844f8eb0a.png

2.然后查找并删除B3A9A362.ghost,如下所示:
28345cf0846062aae.png

3.拷贝自身到%AppData%\Microsoft\Windows目录下ctfmon.exe,如下所示:
934745cf0846f508e7.png

4.然后通过ShellExecute调用拷贝的ctfmon.exe程序,执行勒索加密操作,如下所示:
663665cf084f5b04c7.png

5.自删除原文件,如下所示:
146775cf08508d2279.png

调用的参数,如下所示:
"/c for /l %x in (1,1,666) do ( ping -n 3 127.1 & del "C:\Users\panda\Desktop\Ransomware1.exe" & if not exist "C:\Users\panda\Desktop\Ransomware1.exe" exit )"

6.生成勒索密钥相关信息,如下所示:
411265cf0851ef1e13.png

然后将密钥信息保存到注册表HKEY_CURRENT_USER\Software\Ghost\Service中,如下所示:
993365cf085584fe2d.png

7.遍历网络共享目录,如下所示:
571265cf0856d5c8b1.png

8.遍历磁盘目录,如下所示:
4125cf085e2e0fb2.png

9.在内存中解密出勒索信息文本文件,如下所示:
196235cf086033ddbc.png

10.在内存中解密出不加密的文件目录,如下所示:
236315cf0861013c89.png

不加密的文件目录列表,如下所示:
114975cf0862f75d78.png
ALLUSERPROFILE、APPDATA、WINDIR等。

11.内存解密出各种不加密的文件目录,以及文件名或相关的后缀名,如下所示:
465405cf086515d8e3.png


不加密的文件名列表
boot.ini;bootfont.bin;bootsect.bak;desktop.ini;defender.exe;iconcache.db;master.exe;master.dat;ntdetect.com;ntldr;ntuser.dat;ntuser.data.log;ntuser.ini;temp.txt;thumbs.db;unlock.exe;unlocker.exe;YOUR FILES ARE ENCRYPTED.TXT;

不加密的文件目录
.rome\;
\Mozilla Firefox\;
\Mozilla\;
\Opera Software\;
\Opera\;
\Tor Browser\;
\Common Files\;
\Internet Explorer\;
\Windows Defender\;
\Window Mail\;
\Windows Media Player\;
\Windows Multimedia Platform\;
Windows NT\;
\Windows Photo Viewer\;
\Windows Security\;
\Embedded Lockdown Manger\;
\Windows Journal\;
\MSBuild\;\Reference Assemblies\;
\Windows Sidebar\;
\Windows Defender Advanced Threat Protection\;
\Microsoft\;
\Package Cache\;
\Microsoft Help\;

不加密的文件后缀名列表
.bat;.cmd;.com;.cpl;.dll;.lnk;.msc;.msp;.pif;.scr;.sys;.ghost;

12.遍历目录文件,如下所示:
207805cf086628575d.png

13.加密符合条件的文件,如下所示:
799505cf0866e9a5c5.png

先读取文件内容,然后进行加密操作,如下所示:
908665cf0868294065.png

加密后的文件后缀名为随机的[10-12]个英文字母,如下所示:
508315cf086956c91a.png



解决方案
    针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒检测查杀
1、某公司EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
336575cf086b7cdf88.png

2、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御
某公司安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、某公司防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用某公司安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。



这个病毒大家有没有遇到过呢,说说你对它的看法~


打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

好心情能长寿 发表于 2019-5-31 17:20
  
还好没中过
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

SANGFOR...

本周分享达人