勒索病毒应急案例

网络安全

大事件拾遗网络安全大事件拾遗
除了我们亲身参与处置的安全事件
之外,在 2019 年还发生了许多与安全应急息息相关的大事件, 这些事件或标示着一个新时代的开启,或预示着某种新的攻击方式可能会开始流行,这里我们挑出有代 表性的几件并做简要点评,希望能对全年的安全事件有一个更为完整的观察。### 美国对伊朗发起网络战网络攻击
正式成为军事工具6 月 20 日美国对伊朗部分目标明确发动网络战,这是网络攻击第一次公开作为攻击主力投入战场, 成为重要军事工具直接服务于美国的对外政策。这也让波斯湾成为首次数字世界冲突的舞台,网络超限 实战正在成为整体政治战略的重要组成部分。
事件点评:
根据美国战略与国际研究中心(CSIS)研究显示,伊朗虽然还不在网络大国的榜首,但在网络战的 战略和组织方面却领先于大多数国家。国土安全部发布了一份公告,宣称:“伊朗历史性的利用网络进 攻活动进行报复。”公告还指出,伊朗不断提高其进攻性网络能力,他们继续从事常规的攻击活动,包 括网站篡改,分布式拒绝服务(DDoS)攻击和个人身份信息的盗窃,但他们也愿意突破其活动范围, 包括破坏性恶意软件和潜在的针对物联网和工控系统的攻击。
美伊之间相互的网络攻击从未真正停止过,2020 年初,美军空袭伊朗高官,伊朗发起报复攻击, 网络战是否会进入不受控制的新时代?
参考

世界铝业巨头被攻击基础设施应急能力待提升

2019 年 3 月,全球最大铝生产商之一挪威海德鲁公司(Norsk Hydro)发布公告称,旗下多家工厂 受到一款名为 LockerGoga 的勒索病毒攻击,被迫临时关闭多个工厂并将挪威、卡塔尔和巴西等国家的 工厂运营模式改为手动模式。公司的整个网络都陷于瘫痪中,影响到所有生产活动和公司日常运作。根 据对 LockerGoga 勒索病毒样本的分析,这是一个新的勒索软件系列,除了对 Norsk Hydro 的攻击外, 两家美国化学公司也遭到同一恶意软件的攻击。
事件点评:
这次事件一方面可以说明,针对关键信息基础设施的攻击无论是频率还是范围都在增加;另一方面 也可以看到目前关键信息基础设施的安全防护和应急体系都还非常薄弱,基础的漏洞管理和应急处置预 案亟待建立。

委内瑞拉大规模停电关注工控和物联网安全

2019 年 3 月委内瑞拉最大的电力设施古里水电站计算机系统控制中枢遭受到网络攻击,引发全国 性大面积停电,约 3000 万人口受到影响。7 月古里水电站再次遭到攻击,委内瑞拉再度发生影响 16 个 州的大范围停电。委内瑞拉通信和信息部长指责美国的网络攻击是委内瑞拉停电的原因。
事件点评:
目前工控系统(ICS)和物联网(IoT)已经成为黑客攻击的目标,工控系统往往属于国家关键基础实施, 对国家级黑客和网络部队具有强大的吸引力;而大部分物联网系统安全防护薄弱,存在大量低级问题, 容易被控制并用于拒绝服务攻击或挖矿。这些攻击具有影响范围广、攻击成本低的特点;未来基于工控 和物联网系统的攻击将不断增长,成为安全对抗的主要方向之一。

针对东欧和中亚国家的攻击活动政治意味明显

APT攻击在 2019 年依然活跃,而且越来越多的 APT攻击表现出政治特性。在 8 月,一个欧洲的威 胁情报团队收集了一封新的鱼叉式网络钓鱼电子邮件,该恶意电子邮件以附件为诱饵文档,使用 Word 打开此文档将下载包含恶意宏的 Word 文档和一个 zip 文件。经过分析,这是一场针对东欧和中亚国家 的使馆和外交部的钓鱼攻击,意在执行一系列多阶段恶意指令后感染主机,并从受害者系统窃取数据;
而攻击者就是大名鼎鼎的 APT28,也被称为 Sednit、 Fancy Bear、 STRONTIUM,是一个至少从 2004 年活跃至今的俄罗斯威胁组织。
事件点评:
APT攻击组织的背后通常都有国家的背景,攻击目标也多是窃取机密信息,破坏关键信息基础设施 等。随着目前国际形势的变化,中国作为 APT攻击的主要受害国,必会受到更多的攻击组织的关注。 随着国家对网络安全的重,不断加强安全建设,举办安全竞赛和演练,目前关键信息基础设施的安全
问题得到部分改善。但 APT攻击变化多端,具备高度隐蔽性,依靠传统的安全防御体系很难发现和防护, 如何有效检测和防护 APT攻击已经成为了目前应急能力建设的热点。

涉嫌泄露亿条公民信息考拉征信被查

2019 年 11 月,据央网报道,江苏警方依法打击了 7 家涉嫌侵犯公民个人信息犯罪的公司。这 7 家公司涉嫌非法缓存公民个人信息 1亿多条,其中,考拉征信因涉嫌非法提供身份证照查询 9800 多万次, 获利 3800 万元“榜上有名”。警方已将考拉征信法定代表人、董事长、销售、技术等 20 余名涉案人 员抓获。
事件点评:
数据保护尤其是隐私保护的话题一直保持着极高的热度。在这个“数据即为财富”的时代,各大互 联网厂商乃至传统电信行业都卯足了劲,誓要挖掘出数据的全部价值,其中不乏一些厂商巧立名目,在 用户无法发现的地方悄悄地“积攒财富”。
随着民众和社会对个人隐私保护的逐渐重,我国也正在逐步完善国内的个人数据保护法律体系。 从《网络安全法》中明确规定未履行个人信息保护法律责任的行政责任,将个人信息保护工作上升到法 律层面开始,到《信息安全技术个人信息安全规范》等标准的出台,以及正在规划制作的《数据安全法》 和 2019 国家网信办发布的《个人信息出境安全评估办法(征求意见稿)》,我国的个人隐私保护法律 体系正在逐渐成型。

韩国加密货币交易所万美元以太币被窃

2019 年 11 月据国外媒体报道,韩国一家加密货币交易所被盗走了价值约 5000 万美元的以太币,
34.2 万枚以太币 (Ether) 被发送到一个身份不明的加密货币钱包。被害者 Upbit 是韩国最大加密货币交 易所之一。Upbit 披露了这个加密货币钱包的地址,并将此事上报给了韩国有关部门,监管部门正在调 查此事。
事件点评:
2019 年发生了 12 件重大的加密货币交易所黑客事件。其中有 11 件导致加密货币被盗,总计盗窃 了价值 292,665,886 美元的加密货币,仅有 1 件涉及窃取交易所用户数据信息。据慢雾区块链被黑档 案库 (SlowMist Hacked) 数据统计,在 2019 年之前已披露的加密货币被黑资产价值有 41 亿美金,而 2019 年一年就有 44 亿美金,增加了一倍多,从被黑项目方个数来看,也增加了一倍多。2019 年对于 加密货币黑客来说是疯狂的一年。

后门植入攻击事件

近期,杭州公安在发布的《杭州警方通报打击涉网违法犯罪暨“净网行动 2019”专项行动战果》 中提到, 2016 年发布的 phpStudy 版本被不法分子恶意植入后门,犯罪嫌疑人在 2019 年初被公安机关 抓获。其利用植入的后门非法控制计算机 67 万余台,非法获取账号密码类、聊天数据类、设备码类等
数据 10 万余组。
链接: 事件点评:
phpStudy 后门事件是一次典型的软件供应链攻击事件,攻击者利用用户对厂商的信任,在软件安 装包中植入恶意代码,通过软件的大量安装部署实现非法控制计算机并获取用户敏感数据。针对供应链 攻击,企业应建立完善的监管体制,由专业人员负责软件的准入和更新,确保信息系统运行的软件安全 可靠。软件供应商则需要建立安全可信的开发环境和发布渠道,避免软件被恶意篡改。

微软停止为提供支持

微软发布公告宣称:在 2009 年 10 月 22 日发布 Windows 7 时,Microsoft 承诺为其提供为期 10 年的产品支持。为期 10 年的期限即将结束,Microsoft 将停止为 Windows 7 提供支持,以便将精力专 注于支持较新的技术和出色的新体验。对 Windows 7 的终止支持具体日期为 2020 年 1 月 14 日。我们 不再为该产品提供技术帮助和 Windows 更新中有助于保护电脑的软件更新。Microsoft 强烈建议你升级 到 Windows 10,以避免无法获得所需的服务或支持。
链接:https://support.microsoft.com/zh-cn/help/4057281/windows-7-support-ended-on-january-14-2020 事件点评:
根据市场调查机构 Netmarketshare 2019 年 12 月的市场份额数据显示,虽然越来越多的用户正切 换至 Windows 10 系统,但是 Windows 7 仍占有 26.64% 的市场份额,位居第二。
停止支持意味着如果 Windows 7 系统爆发高危漏洞,这 26.64% 的 Windows7 系统将面临“裸奔” 的局面。Windows 7 系统用户应及时做好准备,全力应对系统停服后带来的安全问题,及时升级系统到 Windows10。

典型安全事件专题

典型安全事件专题

勒索病毒应急案例

背景介绍

某企业 WEB服务器感染勒索病毒,文件后缀均被修改为 yzzzfiactn,根据勒索信息文件 (YZZZFIACTN-MANUAL.txt)判断为最新的 GandCrab V5.2 勒索病毒,该版本目前尚无公开的解密秘 钥及程序,同时在主机中还发现存在多个可疑恶意程序文件。

处置过程

1、 勒索病毒分析
根据勒索信息文件(YZZZFIACTN-MANUAL.txt),可判断此次感染勒索病毒为 GandCrab V5.2。
图 5.1 加密后缀及勒索提示文件截图
目前该版本勒索病毒尚无公开解密秘钥,攻击者提供了其暗网解密域名:http://gandcrabmfe6mnef. onion/7694aee9c4049e1a,访问时需要提交勒索信息相关文件(*-DECRYPT.txt、*-MANUAL.txt)进行 身份认证。
图 5.2 暗网解密域名
勒索页面中包含了勒索金额及付款方式。
图 5.3 暗网勒索页面
2、 其他恶意程序分析
在感染主机上发现了多个可疑后门程序,包括 exe、dll、vbs 等多个文件类型。其中 4xFEFFEF.exe 文件所在路径为:C:\u4fd6\1113bh9c7c54dgat920,创建时间为:2018 年 5 月 19 日,运行时提示缺 少 DLL文件 qbcore.dll。
图 5.4 运行时提示错误
且该程序通过注册表实现自启动,对应注册表键值为:HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Serhiez-1419798062。
图 5.5 自启动注册表键值 通过文件版本信息,确认该文件为腾讯浏览器服务组件,原文件名为 qbclient.exe。
图 5.6 文件版本信息 且该文件具有腾讯有效的数字签名,判断该文件可能被用于加载其他恶意 DLL文件。
图 5.7 数字签名信息
此外用于 DLL劫持的 lpk.dll文件,经分析确认为早期下载者程序后门(Trojan.Downloader),其 中涉及的下载链接包括:
http://www.game918.me:2545/host.exe,保存为:C:\Windows\scvhost.exe。 http://www.82022333.cn:8065/im.exe,保存为:C:\Windows\fillworm.exe。 但目前上述域名均已无法解析,无法对其下载的恶意程序做进一步分析。
图 5.8 恶意域名
同时在 Windows 目录下存在多个随机命名的 vbs 文件,文件创建时间均为 2018 年 7 月,进过分析, 确认均为下载者后门脚本,涉及的下载链接包括:http://mryang.f3322.org:8080/js.exe,http://www. game918.me:2545/host.exe,其中 www.game918.me 与上述 lpk.dll中指向下载域名一致,判断为同一 攻击者所为。
图 5.9 恶意脚本
综上,通过对提取的多个后门程序进行分析,未发现勒索病毒相关特征,并且时间久远,由此判断 与此次勒索病毒事件无关。
3、 勒索病毒感染溯源
从勒索信息文件时间判断,系统最早感染时间为:2019 年 4 月 28 日,3:45:40。
图 5.10 勒索感染开始时间判断 系统最后感染时间为:2019 年 4 月 28 日,6:04:55。
图 5.11 勒索加密结束时间判断 通过系统 RDP日志,判断感染发现时间为:2019/4/28 9:38:12。
图 5.12 勒索发现时间判断
通过对 2019/4/28 的系统登录记录进行分析,未发现相关异常登录,由此排除攻击者通过远程桌面 (RDP)途径植入病毒程序。
涉及的 WEB应用包括 WebLogic 及 Tomcat,由于相关配置文件均已被加密,目前已无法正常启动。
图 5.13 被加密 WEB应用
通过对 Tomcat 应用目录及相关日志进行排查,未发现相关后门痕迹,排除攻击者通过 Tomcat 入 侵的可能性。
对 WebLogic 应用目录进行排查时,发现存在多个 webshell 后门程序,对应目录包括:
文件创建时间从 2019 年 4 月 25 日到 2019 年 4 月 28 日,其中未被加密的后门文件 yayshell.jsp 创 建时间为 2019 年 4 月 28 日 4:04。
图 5.14 发现 webshell
经过分析验证,主机上安装的 WebLogic 10.3.3 版本,存在 WebLogic wls9_async_response 反序 列化命令执行漏洞(CVE-2019-2725 ),攻击者据此可执行系统命令,并植入上述 webshell 后门程序。
此外,还在 WebLogic 用户应用部署目录(_WL_user)中,发现存在多个 WEB后门应用,结合 后门文件所在路径,判断为通过 WebLogic 控制台 (console) 植入,但涉及的 WEB后门文件时间均为
2018 年,判断与此次勒索病毒事件无关。
涉及的后门程序目录包括:
图 5.15 涉及后门程序目录
图 5.16 涉及后门程序目录
图 5.17 涉及后门程序目录
图 5.18 涉及后门程序目录
同时对 WebLogic 访问日志及运行相关日志进行分析,日志文件所为路径为:D:\Oracle\ Middleware\user_projects\domains\base_domain\servers\AdminServer\logs。
图 5.19 WebLogic 日志文件
其中 access.log 保存了 2018 年 12 月至今的所有访问记录,通过筛选排除,未发现相关 WEB后门 访问痕迹,但该日志文件并不会记录 WebLogic 内置应用的访问记录,如上述 webshell 后门 yayshell. jsp 所在应用目录(_WL_internal\bea_wls_internal),此外可判断上述 WebLogic 用户应用部署目录(_ WL_user)下的相关 webshell 后门,未再有访问记录。
图 5.20 日志文件内容
通过分析 base_domain.log 日志文件,发现存在多条上述 webshell 后门(yayshell.jsp)的命令执行 记录,最早执行命令时间为:2019-4-26 下午 11 时 17 分。
图 5.21 命令执行记录 最近的执行命令时间为:2019-4-28 上午 09 时 37 分,即在发现主机感染病毒后,攻击者依然在通
过该后门尝试执行命令。
图 5.22 命令执行记录
综上,结合文件感染时间、webshell 后门文件、WebLogic 运行日志进行综合分析,判断攻击者是 通过 WebLogic 应用漏洞植入 webshell 后门程序,并进一步下载执行了勒索病毒。

参考资料

绿盟 2019年安全事件响应观察报告

友情链接

GB-T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值