GlobeImposter
GlobeImposter
1、原理说明
1、病毒概述
Globelmposter家族首次发现在2017年5月份,这次发现的样本为Globelmposter家族的最新样本,没有内网传播功能,其加密文件使用.TECHNO扩展名,取消了勒索付款的比特币钱包地址以及回传信息的“洋葱”网络地址,而是直接通过邮件地址告知受害者联系,然后取得相应的付款方式,由于Globelmposter采用RSA2048算法加密,目前该勒索样本加密的文件无解密工具。
加密过程与以往的勒索软件并无太差差异,主要是差异在于,病毒感染方式不再具有内网横向传播的能力,目前发现主要通过恶意邮件附件、中毒网站挂马、RDP暴力破解方向进行传播感染。
主机被加密后,不再使用支付赎金方式,要求受害者通过邮件方式,把勒索的加密图片(加密图片上有加密文件的秘钥)或文档发送到指定邮箱,并进行付费解密。
2、病毒分析
(1)勒索样本在运行后,首先判断%LOCALAPPDATA%或%APPDATA%环境变量是否存在,如果存在则将自身复制到%LOCALAPPDATA%或%APPDATA%目录,如图所示:
相关的反汇编代码如图所示:
复制自身到%LOCALAPPDATA%或%APPDATA%目录之后,进行持久化操作,设置自启动项,注册表项为HKEY_CURRENT_USER//Software//Microsoft//Windows//CurrentVersion//RunOnce//BrowserUpdateCheck实现开机自启动,反汇编代码如图所示:
(2)通过内存解密,得到如下图所示的目录字符串列表:
勒索软件在进行加密的时候,会判断是否是以上目录,如果是以上目录则不进行加密操作,如图所示:
生成RSA私钥并使用硬编码公钥加密,之后将加密后的密文转换为ASCII码,最后将密文写入%ALLUSERSPROFILE%变量路径中,生成的密钥ID文件如图所示:
样本通过RSA算法进行加密,先通过CryptGenRandom随机生成一组128位密钥对,然后使用样本中的硬编码的256位公钥生成相应的私钥,最后生成受害用户的个人ID序列号,然后加密相应的文件夹目录和扩展名,并将生成的个人ID序列号写入到加密文件未尾,如图所示:
用户感染相应的勒索样本之后,样本会加密相应的文件夹下的文件,并生成how_to_back_file.html的超文本文件,如图所示:
生成的超文件文件,显示了个人的ID序列号,以及恶意软件作者的联系方式,如图所示:
加密完成之后,进行自删除操作,如图所示:
3、注册表信息
此Globelmposter勒索变种添加了以下注册表项
4、网络行为
此次Globelmposter勒索病毒变种有一个关联的远控木马(从中毒主机上获取),中毒主机会访问了C2站点 54.37.65.160(此远控站点已入我们防火墙黑名单)。
2、危害说明
1、主机大量文件被加密,必须通过邮件支付赎金,才可以进行解密。
2、外发攻击,存在被通报的风险;主机在感染病毒后,会进行横向扩散传播,对全网段SMB扫描和永恒浪漫漏洞利用攻击;当对互联网进行扩散传播时,存在被监管单位(如网信办)通报批评的风险;
3、其他异常症状,中毒主机极可能伴随着其它中毒症状,包括但不限于恶意软件、广告软件等。
3、处置建议
1、病毒取证
(1)检查注册表
是否添加如下选项:BrowserUpdateCheck
(2)网络是否存在与:54.37.65.160通信
(3)文件夹是否存在以“.encrypted”为扩展名的文件;存在表明文件已中毒;
(4)systeminfo命令检查服务器之前是否打过MS17-010补丁,服务器中的补丁编号与官方编号进行对比(如win2008R2应该打的MS17-010补丁为 KB4012212、KB4012215),此场景下可以发现服务器已经打上相应的漏洞补丁,截图取证。
(5)查看服务器是否开放135,139,445等高危端口,可以借助一些wannacry免疫工具(如深信服EDR工具等查杀的检测工具)进行检测(如果检测出有问题,不要免疫),截图取证。
(6)查看服务器是否开放3389远程登录,截图取证。
(7)使用EDR、QQ管家等杀毒工具对服务器进行查杀,看是否能杀出病毒样本(目前不少勒索病毒加密完会自行删除本体,杀软不一定能100%杀出病毒),上传样本到virustotal、微步在线等平台进行确认,看是否报样本为勒索病毒,同时记录病毒的创建时间和修改时间,截图取证。
(8)根据勒索病毒的后缀名,尽可能的找出最早被加密的那个文件,记录文件的创建时间,修改时间(如下图在某次勒索病毒事件处置中,我们发现文件最早被加密的时间是在2017年10月5日12:40),截图取证。
(9)Win+R运行eventvwr,打开时事件查看器,打开安全日志(windows安全日志分析可参考附录4.3)。
(10)根据管理员发现服务器被勒索的时间和文件被加密的时间(如在步骤6中的文件最早被加密的时间是在2017年10月5日12:40),排查文件被加密的时间前后的安全日志(2017年10月5日12:40前后),看是否有异常ip地址远程登录了服务器(如下图可以发现在12:36分,172.168.1.101这个ip地址登录了服务器,该ip为一个内网的IP地址,经与管理员沟通后得知,172.168.1.101为跳板机,用来登录内网服务器,确认在10月5日客户与开发商都未登录过172.168.1.101这台服务器,由此可以推测是黑客登录了172.168.1.101跳板机,之后利用跳板机登录了内网服务器,植入了勒索病毒),截图取证。
根据文件被加密的时间,排查文件被加密的时间前后的安全日志,看是否有异常ip地址远程登录了服务器,如果发现公网ip登录服务器(如下图某次应急事件中我们发现195.22.127.114这个ip远程登录了服务器)对于公网ip,可以结合威胁情报去确认该ip是否为异常ip(通过微步在线查询ip地址195.22.127.114,发现该ip地址来自波兰,瓦尔米亚-马祖里省,奥尔什丁,该地址被微步识别为僵尸网络,很明显这个地址不会是管理员用来登录服务器的ip地址),截图取证。
(11)告知管理员服务器3389登录密码被黑客获取,黑客远程登录服务器,植入勒索病毒,导致被勒索,
2、病毒处置
(1)修改RDP远程桌面账号为复杂密码,建议修改为:“字符串+数组+字符”。
(2)推荐使用深信服EDR工具进行分析并查杀:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
3、日常预防建议
(1)不接收来历不明的邮件,特别是来历不明的邮件附件,切勿随意打开。
(2)如无业务需求,建议关闭远程桌面应用,即使开启,建议使用较为复杂的密码,或配置3389白名单IP登录,防止RDP远程暴力破解。
(3)对于没有联网要求的服务器,建议关闭上网权限,避免服务器被远程CC控制。
(4)对重要数据进行定期备份,防止被恶意加密,导致数据丢失。