一、概述
騰訊安全御見威脅情報中心接受到用戶求助,稱其公司內服務器文件被全盤加密,被加密文件全部修改為.geer類型。經遠程協助查看,攻擊者疑似通過RDP弱口令登錄成功后投毒,再將系統日志全部清除。并嘗試在其機器上部署一系列掃描、對抗工具、密碼抓取工具達數十個之多,攻擊者利用這些工具,對內網其它機器實施攻擊,以擴大勒索病毒對該企業網絡的破壞數量,勒索更多不義之財。
由于該病毒使用RSA+salsa20加密文件,暫無有效的解密工具,我們提醒各政企機構高度警惕,盡快消除危險因素,強化內網安全。
二、分析
該勒索病毒編寫極為簡潔,僅使用22個函數來完成加密過程。病毒涉及到的部分敏感操作均使用NT函數,希望借此躲過一些3環的調試下斷和部分軟件的Hook流程。同時,該病毒加密文件并不做類型區分、地域區分、會嘗試加密全盤所有可訪問到的文件,整個勒索加密模塊更像是為了此次攻擊,緊急編寫制作而成。
病毒使用RSA+salsa20的方式對文件進行加密,RSA公鑰硬編碼Base64編碼后存放,全局生成的salsa20密鑰將被該公鑰加密后作為用戶ID使用,對每個文件生成salsa20密鑰后使用全局密鑰加密存放于文件末尾,被加密文件暫時無法解密。
如下圖中,文件被加密后添加geer擴展后綴,同時留下名為READ_ME.txt勒索信,要求用戶聯系指定郵箱geerban@email.tg購買解密工具。
查看用戶側染毒環境可知,攻擊者并不滿足于只攻陷這一條服務器,還企圖在內網中攻擊其它機器。根據被加密的殘留痕跡信息可知,攻擊者在目標機器部署了大量對抗工具,主要有進程對抗工具(processhacker,Pchunter等),內網掃描工具(NS),系統日志清理工具(Loggy cleaner.exe),同時還有大量的本地密碼抓取工具(包括mimikztz本地口令抓取,各類瀏覽器密碼抓取,郵箱密碼抓取,RDP,VNC登錄口令抓取等工具)。
被攻擊環境中存在大量殘留的密碼抓取工具,此時攻擊者會嘗試利用掃描工具進一步探測內網其它開放風險服務的機器,一旦該部分機器使用了與本機相同被竊取的弱密碼,則也會同時成為攻擊者加密目標。
聯系攻擊者得到回復,其索要0.37比特幣的解密贖金,市值約1.7萬元人民幣。
三、安全建議
企業用戶:
1、盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸。
2、盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。
3、采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務器密碼使用高強度且無規律密碼,并且強制要求每個服務器使用不同密碼管理。
4、對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器。
5、對重要文件和數據(數據庫等數據)進行定期非本地備份。
6、教育終端用戶謹慎下載陌生郵件附件,若非必要,應禁止啟用Office宏代碼。
7、在終端/服務器部署專業安全防護軟件,Web服務器可考慮部署在騰訊云等具備專業安全防護能力的云服務。
8、建議全網安裝御點終端安全管理系統(https://s.tencent.com/product/yd/index.html)。御點終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。
個人用戶:
1、啟用騰訊電腦管家,勿隨意打開陌生郵件,關閉Office執行宏代碼;
2、打開電腦管家的文檔守護者功能,利用磁盤冗余空間自動備份數據文檔,即使發生意外,數據也可有備無患。
IOCs
MD5:
b27e50375a815f59a8a8b33fd5d04367
感謝騰訊御見威脅情報中心來稿!
原文:https://mp.weixin.qq.com/s/PRvcgISEyjek0xh1MW50Qw
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
