内容简介:近日,深信服安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵服务器,上传Downloader脚本文件,连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联,该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。经深信服安全团队分析,该勒索病毒在功能代码结构上与“侠盗”病毒GandCrab非常相似,同时应用了多种反调试和混淆方式,进行调试时会导致主机蓝屏,且似乎还处于不断调试
背景概述
近日,深信服安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵服务器,上传Downloader脚本文件,连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联,该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。
经深信服安全团队分析,该勒索病毒在功能代码结构上与“侠盗”病毒GandCrab非常相似,同时应用了多种反调试和混淆方式,进行调试时会导致主机蓝屏,且似乎还处于不断调试的阶段,与“侠盗”团队有很大关联,确认是GandCrab勒索病毒最新变种。该勒索病毒使用RSA+AES算法进行加密,加密文件后会使用随机字符串作为后缀,且更换屏幕为深蓝背景的Image text,具体勒索特征如下:
释放勒索信息文件“加密后缀-readme.txt”:
排查过程
1.排查被加密的服务器,通过修改日期,发现文件在4.27日五点五十左右被加密:
2.排查病毒文件,发现在temp目录和IE缓存目录下存在勒索病毒文件:
3. 排查到用于下载勒索病毒文件的vbs脚本,文件名为poc.vbs经过检查确定是针对confluence最新漏洞的poc,属于手动投毒:
4.病毒文件确认,加密现象与遭到攻击的服务器相同:
威胁情报关联
1.通过哈希搜索,Virustotal上该病毒文件的上传时间就在近日,且通过加密现象来看属于一种新的勒索病毒变种:
2.通过病毒下载链接中的IP(188[.]166[.]74[.]218)进行威胁情报关联,该C&C端近日被用于下载恶意文件:
3.该IP还关联到通过Confluence漏洞(CVE-2019-3396)传播CandCrab勒索病毒的相关事件,链接如下:
·https://blog.alertlogic.com/active-exploitation-of-confluence-vulnerability-cve-2019-3396-dropping-gandcrab-ransomware/
由此可见,该攻击者(团伙)近期活跃频繁,且惯用手法是利用新型漏洞传播勒索病毒,入侵用户终端,并且疑似在开发新型的勒索病毒家族变种。
病毒详细分析
1.样本母体使用各种加密操作,如下所示:
2.解密出第一层Payload代码,如下所示:
3.解密出勒索核心Payload代码,如下所示:
4.创建互斥变量,如下所示:
5.在内存中解密出勒索相关信息,如下所示:
6.提升进程权限,如下所示:
7.内存中解密出勒索信息文本,如下所示:
8.生成随机勒索信息文本文件名:[随机数字字符串]+[-readme.txt],如下所示:
9.获取键盘布局,如下所示:
如果为以下区域,则退出程序,如下所示:
对应的相应区域,如下所示:
10.遍历进程,结束mysql.exe进程,如下所示:
11.通过cmd.exe执行相应的命令,删除磁盘卷影,如下所示:
12.遍历磁盘文件目录,如下所示:
13.遍历共享文件目录,如下所示:
14.遍历磁盘文件,如下所示:
15.加密文件,使用RSA+AES算法进行加密,如下所示:
16.生成勒索信息桌面图片,更改桌面背景图片,如下所示:
17.从内存中解密出来的域名列表中,选取一个然后进行URL拼接,如下所示:
相应的域名列表,如下所示:
sochi-okna23.ru;www.blavait.fr;kamin-somnium.de;geoweb.software;www.drbrianhweeks.com;kombi-dress.com;johnkoen.com;prodentalblue.com;transifer.fr;matteoruzzaofficial.com;jax-interim-and-projectmanagement.com;hawaiisteelbuilding.com;www.kausette.com;www.galaniuklaw.com;www.atma.nl;www.piestar.com;www.kerstliedjeszingen.nl;biodentify.ai;endlessrealms.net;condormobile.fr;www.cxcompany.com;www.cascinarosa33.it;awaitspain.com;ultimatelifesource.com;goeppinger-teppichreinigung.de等
18.拼接出来的URL,然后发送相应的数据,如下所示:
主机相关数据,如下所示:
发送相应的HTTP请求,如下所示:
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒防御
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修补漏洞。
2、对重要的数据文件定期进行非本地备份。
3、升级Confluence版本,
版本6.6.12及更高版本的6.6.x.
版本6.12.3及更高版本的6.12.x
版本6.13.3及更高版本的6.13.x
版本6.14.2及更高版本
4、主动升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar。
5、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Is Parallel Programming Hard, And, If So, What Can You Do About
Paul E. McKenney
The purpose of this book is to help you understand how to program shared-memory parallel machines without risking your sanity.1 By describing the algorithms and designs that have worked well in the pa......一起来看看 《Is Parallel Programming Hard, And, If So, What Can You Do About 》 这本书的介绍吧!
