揭密黑产“暴力勒索、毁尸灭迹”运作一条龙

栏目: 编程工具 · 发布时间: 5年前

内容简介:处理勒索病毒应急响应事件的时候,会发现了一些有趣的事情,分享给大家,看看现在的勒索病毒运营团伙是如何“暴力勒索、毁尸灭迹”运作一条龙。现在大部分的勒索病毒都没有自主传播的能力,不像之前WannaCry可以通过永恒之蓝进行自主传播,主动感染其它存在漏洞的主机,现在流行的一些勒索病毒,像GandCrab、Globelmpsoter、CrySiS等勒索病毒都是单一的加密主机,不具备自主传播能力,需要人工植入,但不同的勒索病毒会使用不同的渠道进行传播感染。应急响应发现现在勒索病毒大多数使用RDP爆破的方式进入企业,

处理勒索病毒应急响应事件的时候,会发现了一些有趣的事情,分享给大家,看看现在的勒索病毒运营团伙是如何“暴力勒索、毁尸灭迹”运作一条龙。

现在大部分的勒索病毒都没有自主传播的能力,不像之前WannaCry可以通过永恒之蓝进行自主传播,主动感染其它存在漏洞的主机,现在流行的一些勒索病毒,像GandCrab、Globelmpsoter、CrySiS等勒索病毒都是单一的加密主机,不具备自主传播能力,需要人工植入,但不同的勒索病毒会使用不同的渠道进行传播感染。

应急响应发现现在勒索病毒大多数使用RDP爆破的方式进入企业,然后再通过各种安全工具,进行内网传播,黑产的运作流程又是如何的?一般会使用哪些安全 工具 呢?

某个勒索病毒团伙使用的工具包(其中LOCKER.exe为勒索病毒母体压缩包),如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙

其它都是些什么工具呢?具体有什么用呢?下面一一来给大家进行讲解。

黑客通过RDP爆破进入企业之后,一般的企业都会安装相应的终端安全软件,首先要结束安全软件,使用的工具如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 DefenderControl.exe结束Window Defender软件,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 ProcessHacker.exe结束进程,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 有些安全软件可能还有自保护,一般的进程工具无法结束进程,需要使用PCHunter.exe和PowerTool.exe这样的驱动级的工具,强制结束安全软件,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 结束进程之后,还可以使用Geek Uninstaller等软件,卸载相关的安全软件,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙

结束安全软件之后,需要进行主机密码口令获取、内网扫描,爆破,横向传播等手段,使用的工具,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 使用mimikatz工具,获取主机口令密码,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 使用KPortScan3.0工具,扫描内网中的3389的机器,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 可以看到扫描到很多机器开放了3389,还会使用其它相关的扫描工具,NSScan,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 SoftPerfect Network Scanner,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 对扫描到的开放3389端口的机器,再使用NLBrute等工具,爆力破解内网3389的机器,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 破解内网机器之后,再通过CMD命令启动远程桌面连接,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙

然后再次使用相同的方法进行内网感染,植入勒索病毒,加密主机文件,最后使用清除工具Loggy cleaner.exe进行“毁尸灭迹”操作,由于我对Loggy cleaner.exe工具的作用并不熟悉,对Loggy cleaner.exe进行逆向分析,如下所示:

1.获取主机操作系统语言版本,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 2.比较操作系统版本语是否为德语,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 3.如果为德语版本操作系统,则显示德语提示,如果不是德语操作系统,则显示英文提示,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 4.判断操作系统版本号,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 5.如果操作系统版本过低,则弹出MessageBox,然后退出程序,否则执行下面的清除操作,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 6.读取解密出程序的资源数据,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 7.在Temp目录下创建F888.tmp目录,然后创建相应的清除脚本Loggy cleaner.cmd,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 生成的清除脚本目录,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 脚本内容,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 8.通过CreateProcessA启动清除脚本,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 9.通过脚本清除windows最近使用项目,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 10.可以看到Windows最近使用的一些项目的目录文件全部被清理的干干净净,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 11.最后删除清除脚本,如下所示:

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙

逆向分析之后,发现Loggy cleaner.exe主要的功能:关闭清除RDP连接、清除Windows凭证信息、清除Windows最近使用项目等。

勒索病毒运营团伙的运作流程:

1.通过RDP爆破进入企业
2.结束企业的终端软件
3.获取主机的口令密码
4.扫描内网中开放3389端口的主机
5.使用工具对3389主机进行爆破
6.通过RDP登录其它主机,感染勒索病毒,清理现场
7.本机感染勒索病毒,清理现场,防止应急响应人员溯源分析

随着虚拟货币的不断增值,针对企业的勒索攻击也越来越多,企业安全运维人员一定要做好相应的安全防护,勒索病毒无孔不入,大部分勒索现在都无法解密,以防为主……

关于勒索病毒的防护,给大家分享几个简单的方法:

1.及时给电脑打补丁,修复漏洞;

2.谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击;

3.尽量不要点击office宏运行提示,避免来自office组件的病毒感染;

4.需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件;

对于来历不明的邮件、网址、程序、脚本等需要慎之又慎;

5.升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;

6.开启Windows Update自动更新设置,定期对系统进行升级;

7.养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件;

8.更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;

9.如果业务上无需使用RDP的,建议关闭RDP。

文章宗旨在于提高企业安全运维人员的安全意识,做好勒索病毒防护工作,勿作恶,作恶必被抓……

*本文原创作者:熊猫正正,本文属于FreeBuf原创奖励计划,未经许可禁止转载


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

阿里巴巴Java开发手册

阿里巴巴Java开发手册

杨冠宝 / 电子工业出版社 / 2018-1 / 35

《阿里巴巴Java开发手册》的愿景是码出高效,码出质量。它结合作者的开发经验和架构历程,提炼阿里巴巴集团技术团队的集体编程经验和软件设计智慧,浓缩成为立体的编程规范和最佳实践。众所周知,现代软件行业的高速发展对开发者的综合素质要求越来越高,因为不仅是编程相关的知识点,其他维度的知识点也会影响软件的最终交付质量,比如,数据库的表结构和索引设计缺陷可能带来软件的架构缺陷或性能风险;单元测试的失位导致集......一起来看看 《阿里巴巴Java开发手册》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

在线进制转换器
在线进制转换器

各进制数互转换器

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码