×

Sodinokibi勒索病毒运营团伙猖獗,针对国内用户大肆敛财
  

SANGFOR_智安全 6672

{{ttag.title}}

Sodinokibi勒索病毒运营团伙猖獗,针对国内用户大肆敛财


      近日,全国多省大中型企业持续遭到勒索病毒攻击,经某公司安全团队分析排查,均为一款名为“Sodinokibi”的勒索病毒作祟。该勒索病毒家族的运营团伙近期异常活跃,针对国内众多行业发起攻击,以“先攻破一台,再覆盖全网”的手法,对用户内网主机投放勒索进行加密,受灾最严重的企业内网服务器基本瘫痪,每次遭受攻击解密所需赎金不下20万人民币。

病毒名称:Sodinokibi
病毒性质:勒索病毒
影响范围:目前国内多行业用户受感染
危害等级:高危
传播方式:通过漏洞利用、RDP暴力破解入侵

病毒剖析
1蔓延迅猛,来势汹汹
      早在今年4月,某公司安全团队首次发现了这款继承了GandCrab代码结构的勒索病毒,将其命名为“DeepBlue”勒索变种,其特点为使用随机加密后缀,并且加密后会修改主机桌面背景为深蓝色:
      随后,国内外安全厂商纷纷发布Sodinokibi勒索病毒相关报告。某公司安全团队追踪Sodinokibi勒索家族发展时间轴:
      据某公司安全团队统计,该勒索病毒问世以来,对国内各行业中的中大型用户进行无差别攻击,从感染行业分布图来看,安全防护较为薄弱的医疗卫生行业受灾较为严重,其他各行业均遭到不同程度的攻击:

2高效攻击,手法专业
      在该勒索病毒活动的初期,曾通过漏洞利用的手法来进行攻击,被披露的漏洞利用包括Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等。或许是漏洞利用的目标范围较小,攻击过程较为复杂,从7月份开始,该勒索病毒的攻击手法逐渐演变成较为简单高效的RDP爆破入侵。

      主要攻击过程为,先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限,再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和PC进行加密,一台失陷,全网遭殃,具体示意图如下:
      在溯源过程中,某公司安全团队多次发现攻击者遗留的工具包,主要包括了勒索病毒体、开源或已有的扫描工具、控制工具,以及攻击者自制的bat脚本类工具:
      其中ProcessHacker、PCHunter、DefenderControl、xwdef等工具用于卸载用户主机的安全软件,关闭Windowsdefender功能,bat脚本主要用于删除系统备份,禁用系统功能等:
      攻击者有时会使用mimikatz来抓取内网密码,在使用远程桌面登录或远程工具连接到各个目标主机,此时内网设备在攻击者眼中暴露无遗,危害难以估量:
3Sodinokibi勒索病毒已形成产业化规模
      实际上,Sodinokibi勒索病毒的爆发主要得益于其形成的产业化规模,即分布式团伙作案,每个人各司其职,按劳分配,多劳多得。首先,Sodinokibi勒索病毒运行成功后,会在主机上留下如下勒索信息,形成“随机后缀-readme.txt”的文档:
      勒索信息中留了两个用于联系黑客的网页,一个是暗网聊天网页,一个是普通聊天网页,受害企业可以根据自身情况任意访问(联系)其中一个链接。访问该链接后,可以通过网页进行聊天,设计十分专业,用于黑客与受害企业就赎金问题进行协商。
      实际上,该作案团伙已经形成一个产业化的团队,黑客不直接与受害企业沟通,而是雇佣了一批线上客服,7*24小时在线,负责与受害者沟通,并协商价格。

      目前Sodinokibi勒索病毒的要价普遍偏高,多数是在3到6个比特币,其主要攻击对象是企业,尤其是中大型企业。该勒索病毒致使企业核心业务网络瘫痪,因此很多受害企业迫于无奈交了不少赎金。

      Sodinokibi勒索病毒为产业化运作,故每个参与者都有相应的分成。某公司安全团队通过多次跟踪研究发现,当受害企业向黑客钱包转入比特币的时候,此钱包会分批次转入其它成员的钱包。

如下图所示,黑客在某次攻击成功后,将赎金分2批转给了4个钱包,分别是勒索病毒作者钱包、集成平台提供商钱包、线上客服钱包、统筹钱包。
      勒索病毒作者、集成平台提供商属于薄利多销型,每一笔交易都有提成,所以单次提成比例虽低,但总数是非常客观;线上客服按劳分配,说服一个客户,就有一小笔提成。

      每次攻击所得的赎金,主要由统筹钱包分配给了攻击者和组织运营者,攻击者是实际从事攻击企业的个人或者渗透团队,所以单次成功后的贡献比较大,而任何个人和团队都能参与到不同客户的攻击活动中来,类似销售团队,每成一单,提成都比较可观。整体上大部分的赎金给了组织运营者,其负责拉通了各个环节和资源,保障平台和团伙的正常运作。
大致抽象出其交易流程如下:
基于上述追踪,Sodinokibi勒索病毒的产业化运作模式形如:

解决方案
      众所周知,企业系统脆弱性是企业被勒索病毒入侵的根因,很多企业内网核心服务器虽然开启了防爆破、强密码等保护,但普通PC仍存在漏洞、弱密码、高危端口暴露等诸多问题,才给了黑客可乘之机;而勒索病毒不同于其它病毒,其主要危害是短时间内威胁企业核心数据资产,因此当勒索病毒发生的时候,必须进行争分夺秒的事件响应,高效和专业才能将勒索病毒的危害迅速降到最低。

      针对勒索病毒肆虐,严重影响用户业务安全的问题,某公司已有完整的解决方案,主要从系统脆弱性和事件响应高效性两个方向进行重点突破。

SIP
一、SIP能连接互联网情况
将IOC库到2019-8月5号
平台将会自动升级,也可以手动触发升级
更新完成后如下,更新到2019年8月5号的IOC库。

二、SIP不能连接互联网情况
更新IOC库到2019年8月5号
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all





导入完成后,如下,更新到2019年8月5号的IOC库。

EDR
      针对Sodinokibi勒索病毒处理,EDR需要开启病毒查杀、勒索病毒防护、防暴力破解、修复系统漏洞补丁,服务器安全策略和客户端安全策略设置如下。

一、更新病毒库
更新病毒库到20190810100720及以上版本,即可对Sodinokibi勒索病毒进行查杀。

1.1 EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。

1.2 EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all


病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。

二、开启安全策略
2.1 启用实时防护策略
针对内网服务器启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测、高级威胁防护,配置如下图:

针对内网客户端启用实时防护策略,开启文件实时监控、勒索病毒防护、高级威胁防护,配置如下图:

2.2 启用病毒查杀策略
针对内网windows系统(包括服务器和客户端)启用病毒查杀策略,配置定时查杀,配置如下图:
对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图:

2.3 启用漏洞修复策略
针对内网终端启用系统漏洞修复策略,配置如下图:
检测内网终端系统漏洞并进行修复,如下图:


不建议勾选“强制终端修复后立即重启”,修复完成后通知终端重启电脑。

AF
一、确认当前设备软件升级
要求防火墙软件版本为AF8.0.5及以上,同时开启SAVE杀毒功能模块,如下图:
二、确认当前规则库更新
要求防火墙软的规则库更新到最新,如下图:
三、开启安全功能
针对此次的“Sodinokibi勒索病毒”防护,某公司 AF建议针对【内网有上网权限主机】,开启 “SAVE安全智能文件检测”功能。针对【需要对外提供RDP服务的主机】,开启“暴力破解”功能,配置如下:
3.1【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:



3.2【策略】-【安全策略】-【安全防护策略】界面,新增【业务防护策略】,如下:



四、安全云脑接入
最后,建议AF可以接入某公司安全云脑,提升后续未知威胁的防护能力及威胁情报数据的实时获取,配置如下:

咨询与服务
您可以通过以下方式联系我们,获取关于Sodinokibi勒索病毒的免费咨询及支持服务:
1)拨打电话400-630-64306号线
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司区bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

头像被屏蔽
hell—123456 发表于 2019-8-16 15:48
  
提示: 作者被禁止或删除 内容自动屏蔽
新手548437 发表于 2019-8-16 17:20
  
好贴,必须点赞.
yanda 发表于 2019-8-16 22:05
  
解密文件啥时候可以有?我同事有两个电脑中了勒索病毒导致电脑里面文件全部被加密。
新手5797 发表于 2019-8-18 09:48
  
安全,安全第一啊。
科思哲 发表于 2019-8-18 11:10
  

好贴,必须点赞.
蓝光 发表于 2019-8-18 11:39
  
学习了
夏末未至 发表于 2019-8-19 08:41
  
感谢感谢,抓紧操作一下
dengt8888 发表于 2019-8-19 12:47
  
安全,安全第一
新手020601 发表于 2019-8-27 10:58
  
网络安全应该引起足够的重视!!!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人