影響惡劣的GlobeImposter勒索攻擊該如何防御

發(fā)布時間：2021-12-23 10:51:37 來源：億速云閱讀：149 作者：柒染欄目：網(wǎng)絡(luò)安全

今天就跟大家聊聊有關(guān)影響惡劣的GlobeImposter勒索攻擊該如何防御，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

普通的勒索病毒事件一般通過郵件、水坑攻擊、U盤擺渡等方式進入用戶系統(tǒng)，由惡意代碼自身的橫向移動功能（比如對MS17-010漏洞的利用）在內(nèi)網(wǎng)繼續(xù)進行感染攻擊。通過對本次勒索攻擊事件的分析，我們發(fā)現(xiàn)本次攻擊相對普通的勒索事件的首要區(qū)別在于攻擊者在突破企業(yè)防護邊界后積極進行內(nèi)網(wǎng)滲透，繞過安全防護，并釋放勒索惡意代碼，具有極強的破壞性及針對性。

本次事件中，黑客從外網(wǎng)打開突破口后，會以工具輔助手工的方式，對內(nèi)網(wǎng)其他機器進行滲透。黑客使用的工具主要來自一個壓縮包。所使用的工具包括但不限于：

1、全功能遠控木馬
2、自動化添加管理員的腳本
3、內(nèi)網(wǎng)共享掃描工具
4、Windows 密碼抓取工具
5、網(wǎng)絡(luò)嗅探、多協(xié)議暴破工具
6、瀏覽器密碼查看工具

攻擊者在打開內(nèi)網(wǎng)突破口后，會在內(nèi)網(wǎng)對其他主機進行口令暴破。在內(nèi)網(wǎng)橫向移動至一臺新的主機后，會嘗試進行包括但不限于以下操作：

1、手動或用工具卸載主機上安裝的防護軟件
2、下載或上傳黑客工具包
3、手動啟用遠程控制以及勒索病毒

風(fēng)險等級

360安全監(jiān)測與響應(yīng)中心風(fēng)險評級為：高危
預(yù)警等級：藍色預(yù)警（一般網(wǎng)絡(luò)安全預(yù)警）

影響范圍

容易受攻擊組織影響的機構(gòu)

本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務(wù)密碼暴力破解，在進入內(nèi)網(wǎng)后會進行多種方法獲取登陸憑據(jù)并在內(nèi)網(wǎng)橫向傳播。綜上，符合以下特征的機構(gòu)將更容易遭到攻擊者的侵害：

1、存在弱口令且Windows遠程桌面服務(wù)(3389端口)暴露在互聯(lián)網(wǎng)上的機構(gòu)。
2、內(nèi)網(wǎng)Windows終端、服務(wù)器使用相同或者少數(shù)幾組口令。
3、Windows服務(wù)器、終端未部署或未及時更新殺毒軟件。

處置建議

1、服務(wù)器、終端防護

1.1、所有服務(wù)器、終端應(yīng)強行實施復(fù)雜密碼策略，杜絕弱口令。

1.2、杜絕使用通用密碼管理所有機器。

1.3、安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫。

1.4、及時安裝漏洞補丁。

1.5、服務(wù)器開啟關(guān)鍵日志收集功能，為安全事件的追蹤溯源提供基礎(chǔ)。

2、網(wǎng)絡(luò)防護與安全監(jiān)測

2.1、對內(nèi)網(wǎng)安全域進行合理劃分。各個安全域之間限制嚴格的 ACL，限制橫向移動的范圍。

2.2、重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫應(yīng)當(dāng)設(shè)置獨立的安全區(qū)域并做好區(qū)域邊界的安全防御，嚴格限制重要區(qū)域的訪問權(quán)限并關(guān)閉telnet、snmp等不必要、不安全的服務(wù)。

2.3、在網(wǎng)絡(luò)內(nèi)架設(shè) IDS/IPS 設(shè)備，及時發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動行為。

2.4、在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備，以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動行為，并為追蹤溯源提供良好的基礎(chǔ)。

2.5、通過ACL禁止IP:54.37.65.160的出站方向訪問。

3、應(yīng)用系統(tǒng)防護及數(shù)據(jù)備份

3.1、應(yīng)用系統(tǒng)層面，需要對應(yīng)用系統(tǒng)進行安全滲透測試與加固，保障應(yīng)用系統(tǒng)自身安全可控。

3.2、對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進行及時備份，并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性。

3.3、建立安全災(zāi)備預(yù)案，一但核心系統(tǒng)遭受攻擊，需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用；同時，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，辟免主系統(tǒng)和備份系統(tǒng)同時被攻擊，影響業(yè)務(wù)連續(xù)性。

安全防護本身是一個動態(tài)的對抗過程，在以上安全加固措施的基礎(chǔ)上，日常工作中，還需要加強系統(tǒng)使用過程的管理與網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)測：

電腦中不使用不明來歷的U盤、移動硬盤等存儲設(shè)備；不接入公共網(wǎng)絡(luò)，同時機構(gòu)的內(nèi)部網(wǎng)絡(luò)中不運行不明來歷的設(shè)備接入。

要常態(tài)化的開展安全檢查和評估，及時發(fā)現(xiàn)安全薄弱環(huán)節(jié)，及時修補安全漏洞和安全管理機制上的不足，時刻保持系統(tǒng)的安全維持在一個相對較高的水平；（類似定期體檢）

及時關(guān)注并跟進網(wǎng)絡(luò)安全的技術(shù)進步，有條件的單位，可以采取新型的基于大數(shù)據(jù)的流量的監(jiān)測設(shè)備并配合專業(yè)的分析服務(wù)，以便做到蠕蟲病毒的第一時間發(fā)現(xiàn)、第一時間處置、第一時間溯源根除。

技術(shù)分析

1、勒索樣本分析

1.1 樣本初始化

勒索樣本在運行后首先判斷%LOCALAPPDATA%或%APPDATA%環(huán)境變量是否存在，如果存在則將自身復(fù)制到%LOCALAPPDATA%或%APPDATA%目錄，之后將復(fù)制后的路徑寫入：HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck 從而實現(xiàn)開機啟動

影響惡劣的GlobeImposter勒索攻擊該如何防御

生成RSA私鑰并使用硬編碼公鑰加密，之后將加密后的密文轉(zhuǎn)換為ASCII碼，最后將密文寫入%ALLUSERSPROFILE% 變量路徑中

影響惡劣的GlobeImposter勒索攻擊該如何防御

1.2 加密流程

初始化完成后開始進入加密流程，病毒會遍歷全盤，在排除樣本中不加密文件夾列表后，使用隨機生成的公鑰加密其他所有文件，之后將之前生成的機器唯一標(biāo)識寫入文件末尾

影響惡劣的GlobeImposter勒索攻擊該如何防御

排除的路徑如下：:

·Windows·Microsoft·Microsoft Help·Windows App Certification Kit·Windows Defender·ESET·COMODO·Windows NT·Windows Kits·Windows Mail·Windows Media Player·Windows Multimedia PlatformWindows Phone Kits·Windows Phone Silverlight Kits·Windows Photo Viewer·Windows Portable Devices·Windows Sidebar·Windows PowerShell·NVIDIA Corporation·Microsoft .NET·Internet Explorer·Kaspersky Lab·McAfe·Avira·spytech software·sysconfig·Avast·DrWeb·Symantec·Symantec_Client_Security·system volume information·AVG·Microsoft Shared·Common Files·Outlook Express·Movie Maker·Chrome·Mozilla Firefox·Opera·YandexBrowser·ntldr·Wsus·ProgramData