MedusaLocker勒索病毒Debug版本泄露該如何高效檢測防御

這篇文章給大家介紹MedusaLocker勒索病毒Debug版本泄露該如何高效檢測防御，內(nèi)容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

前言

近日，一個叫MedusaLocker的勒索病毒在國外安全圈被炒的沸沸揚揚，原因是該病毒的多個版本被泄露了出來，其中包括了黑客開發(fā)過程中的Debug版本。近期，深信服借助強大的威脅情報來源，觀察到菲律賓等東南亞國家，及國內(nèi)不少企業(yè)接連中了該病毒，有持續(xù)爆發(fā)的趨勢，深信服安全團隊對該病毒進行追蹤，實現(xiàn)檢測與防御。

正常情況下，為了防止被追蹤，黑客分發(fā)惡意軟件之前，都會對敏感信息進行抹除的，而這個Debug版本的MedusaLocker，很有可能是黑客在開發(fā)過程中不慎泄露的，Debug版本包含了較多的樣本信息，我們可以通過研究它，制定有效的檢測防御方案。

由于Twitter上沒有公布該樣本的MD5，只好在VT上根據(jù)關(guān)鍵字進行搜索，最后篩選出兩個相關(guān)樣本，根據(jù)發(fā)現(xiàn)的時間排序，第二個樣本很可能就是提前泄露的Debug版本。

本地運行該樣本，主機文件被加密成”.skynet”，同時生成了以下勒索提示文件”Readme.html”。仔細一看“Your files are encrypted”和“Attention”的關(guān)鍵字，跟Globelmposter病毒非常相似，不排除作者有模仿Globelmposter的可能。

可能樣本是Debug版本的原因，運行時會自動打印調(diào)試信息，根據(jù)信息，可以大致得知病毒的工作流程如下：

提權(quán)->初始化加密算法->釋放勒索提示文件->添加自啟動->清除數(shù)據(jù)庫、殺軟進程->刪除卷影備份->掃描遍歷文件加密

檢測

使用IDA打開該樣本，會發(fā)現(xiàn)樣本攜帶了PDB信息，通過提取PDB信息的特征，可以實現(xiàn)對MedusaLocker家族變種的識別。

PE文件中的PDB信息是什么，有什么用呢？它的主要功能是記錄工程中PDB文件的路徑，存放在PE文件的IMAGE_DEBUG_TYPE_CDEVIEW字段，編譯器通過讀取這個字段的值，就可以找到PDB文件并進行相關(guān)信息的加載。我們從該路徑中可以發(fā)現(xiàn)這個黑客名為Gh0St，工程的路徑也帶有明確的MedusaLocker字符串。

PDB路徑字段的格式如下，以“/RSDS”標識開頭，根據(jù)以下格式，就可以輕松的編寫出Medusalocker的yara規(guī)則。

PDB信息都是以明文的方式進行存儲，通過檢測PDB特征字符串，可以高效地檢出該病毒家族的不同變種。

這種基于PDB信息的檢測技術(shù)之前國外安全廠商FireEye有所介紹，他們整理了許多可疑的PDB字符串規(guī)則進行檢測，已成功捕獲到多個新型的惡意軟件樣本。

然而，這種檢測方法還是有所局限的，大部分情況，黑客在分發(fā)惡意軟件之前，都會使用工具對PDB信息進行抹除，所以，除了一些被提前泄露的Debug程序，大部分樣本都是沒有PDB信息的。

抹除PDB信息的原理很簡單，將其中的PDB路徑覆蓋為0，或直接刪除IMAGE_DEBUG_TYOE_CODEVIEW字段。

通過這種方法，在網(wǎng)上找到了Release版本的MedusaLocker樣本。

Release版本與Debug版本的病毒邏輯基本一致，只是少了調(diào)試代碼，但加密后綴以及勒索提示文件則截然不同，加密后綴變成了”.encrypted”，勒索提示文件名為”HOW_TO_RECOVER_DATA.html”，且畫風也有很大改觀，在右下角添加了個醒目的鳥人標志。

防御

 病毒檢測查殺

1、深信服EDR產(chǎn)品、下一代防火墻及安全感知平臺等安全產(chǎn)品均具備病毒檢測能力，部署相關(guān)產(chǎn)品用戶可進行病毒檢測，如圖所示：

2、深信服為廣大用戶免費提供查殺工具，可下載如下工具，進行檢測查殺。

64位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 病毒防御

1、及時給電腦打補丁，修復漏洞；

2、對重要的數(shù)據(jù)文件定期進行非本地備份；

3、不要點擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件；

4、盡量關(guān)閉不必要的文件共享權(quán)限；

5、更改賬戶密碼，設置強密碼，避免使用統(tǒng)一的密碼，因為統(tǒng)一的密碼會導致一臺被攻破，多臺遭殃；

6、如果業(yè)務上無需使用RDP的，建議關(guān)閉RDP；

7、當出現(xiàn)此類事件時，推薦使用深信服防火墻，或者終端檢測響應平臺（EDR）的微隔離功能對3389等端口進行封堵，防止擴散；

8、深信服防火墻、終端檢測響應平臺（EDR）均有防爆破功能，防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則，EDR開啟防爆破功能可進行防御；

9、深信服防火墻客戶，建議升級到AF805版本，并開啟人工智能引擎Save，以達到最好的防御效果；

10、深信服終端檢測響應平臺（EDR）支持識別市面上大多數(shù)的流行黑客工具，并具備主動攔截和禁止運行功能；深信服EDR客戶，建議開啟勒索防護功能，精準攔截勒索病毒；

11、使用深信服安全產(chǎn)品，接入安全云腦，使用云查服務可以即時檢測防御新威脅；

12、深信服推出安全運營服務，通過以“人機共智”的服務模式幫助用戶快速擴展安全能力，針對此類威脅安全運營服務提供設備安全設備策略檢查、安全威脅檢查、相關(guān)漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防范此類威脅。

最后，建議企業(yè)對全網(wǎng)進行一次安全檢查和殺毒掃描，加強防護工作。

關(guān)于MedusaLocker勒索病毒Debug版本泄露該如何高效檢測防御就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。