勒索病毒冲着企业服务器来了 CSO们怕了么?
|
副标题[/!--empirenews.page--]
【资讯】 一、背景 近期,针对Windows服务器攻击的勒索病毒持续传播,尤其是2018年年初国内数家机构服务器被GlobeImpsoter勒索病毒攻击,导致业务大面积瘫痪,这引起了大家对服务器安全的关注。 根据腾讯御见威胁情报中心监控,每周都有企业Windows服务器被勒索病毒攻击,服务器上的数据文件被加密,严重影响公司业务运转。对此,腾讯御见威胁情报中心对服务器勒索攻击进行了深入分析。 针对服务器攻击的勒索病毒主要有两大家族,分别是GlobeImposter和Crysis。GlobeImposter是个勒索病毒的一个老家族,初期主要通过钓鱼邮件针对个人用户攻击,现在为了获得更高收益,已将重点攻击目标转向企业服务器。Crysis家族最早可以追溯到16年3月,2017年开始持续传播,一直针对Windows服务器进行攻击。 二、攻击影响 1.地域分布 统计受勒索病毒攻击的企业地理分布,发现江苏、广东最多,其次是山东、北京。 2.行业分布 通过对受攻击的企业用户进行分析,遭到服务器勒索攻击的行业主要为传统行业,分别为政府机关(26%)、工业企业(15%)和医疗机构(13%)。相对于信息安全建设比较成熟的互联网公司而言,这些偏传统的机构在信息安全上往往投入较少,安全运维缺陷较多。例如服务器没有及时修复高危漏洞,没有良好的安全规范等。 3.传播趋势 服务器勒索病毒一直呈持续增长的传播阶段,Crysis家族和Globelmposter传播均有上涨。尤其是进入了4月份之后,两家族传播均有明显增长迹象。腾讯御见威胁情报中心统计发现,自4月1日到4月18日,企业服务器被这两个勒索病毒攻击的事件增长了34%。 一旦受害企业服务器数据被加密,业务将无法正常运转,会更倾向于交付赎金。攻击企业比攻击普通网民的收益要高很多,因此,未来较长的时间里,针对企业服务器的勒索病毒传播会是黑客攻击的重点。 三、GlobeImposter样本分析 1.勒索病毒整体加密过程 勒索病毒使用了RSA+AES加密方式,加密过程中涉及两对RSA密钥(分别为黑客公私钥和用户公私钥,分别用hacker_rsa_xxx和user_rsa_xxx表示这两对密钥)和一对AES密钥。黑客RSA密钥用于加密用户RSA密钥,用户RSA密钥用于加密AES密钥,AES密钥用于加密文件内容。 具体的加密流程: 勒索病毒首先解码出一个内置的RSA公钥(hacker_rsa_pub),同时对每个受害用户,使用RSA生成公私钥(user_rsa_pub和user_rsa_pri),其中生成的密钥信息使用内置的RSA公钥(hacker_rsa_Public)进行加密后,做为用户ID。 在遍历系统文件,对符合加密要求的文件进行加密。对每个文件,通过CoCreateGuid生成一个唯一标识符,并由该唯一标识符最终生成AES密钥(记为file_aes_key),对文件进行加密。在加密文件的过程中,该唯一标识符会通过RSA公钥(user_rsa_pub)加密后保存到文件中。 黑客在收到赎金、用户ID和文件后,通过自己的私钥(hacker_rsa_pri)解密用户ID,可以得到user_rsa_pri,使用user_rsa_pri解密文件,就可以得到文件的file_aes_key,进而可以通过AES算法解密出原始文件。 部分勒索病毒的加解密流程 下面对样本中使用的一些技术手段进行分析。 2.加密字符解密算法 软件中的字符及内置的公钥等信息都以加密的方式保存,加密使用的为AES算法,函数00409392为解密算法函数,函数包含5个参数,每个参数的含义如下: 参数1:返回值,解密后的内容 参数2:返回值,解密后的内容的长度 参数3:解密key 参数4:解密key的长度 参数5:文件句柄,如果文件句柄不为空,就将解密后的内容写入到该文件句柄对应的文件中 对aes_crypt函数,使用mbedtls_aes_crypt_ecb进行AES解密操作。 通过IDA的上下文交叉引用,看到共有七处调用了MyAESDecode函数进行解密内容,这七处调用功能解释如下: 3.解码排除文件夹与排除后缀名 恶意样本在勒索过程中会绕过包含某些特殊字符的文件夹,这些特殊的字符解码算法如下: 1)使用“CC0BE4F069F6AE6FFFCCBFD92CE736EE21792B858339D632F577268C2CDD384A”作为AESkey,解密00401158处硬编码的0x210大小的数据内容,解密后的内容为硬编码的RSA公钥(hacker_rsa_pub)。 (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
