lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

感谢腾讯御见威胁情报中心来稿!

原文链接:https://mp.weixin.qq.com/s/4j0dps2b-y4HIudZ1tNJRg

 

一、概述

腾讯安全威胁情报中心检测到国内有企业遭受lockbit勒索病毒攻击,被加密破坏的文件添加了.Lockbit后辍。该病毒出现于2019年末,传播方式主要利用RDP口令爆破。该病毒此前主要活跃在国外,观察当前病毒版本,其进程结束(防文件占用)列表内已出现国产安全软件,这也代表着该病毒团伙已将其狩猎范围拓展到了国内。
经分析,该病毒使用RSA+AES算法加密文件,加密过程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率,从而实现对文件的高性能加密流程。由于该病毒暂无有效的解密工具,被攻击后无法恢复文件,所以我们提醒各政企机构提高警惕。

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

二、分析

为了提升病毒读写文件效率,病毒通过采取IOCP完成端口模型,后续在工作者线程内读取完成消息队列,使用异步读写文件的方式实现病毒加密文件过程的高性能化。

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

在工作者线程内处理完成队列消息,根据IOCP_QUEUE_COMPLETECODE对文件数据进行加密,读写消息再投递。

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

同时为了进一步提升病毒加密过程效率,病毒运行后会检查CPU判断是否支持AES-NI指令集,加密时若支持相关指令则使用 aeskeygenassist,aesenc等加解密专用指令完成AES加密流程,否则使用其它常用计算指令完成加密流程。

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

加密文件前病毒会首先本地生成RSA密钥对信息,使用硬编码的RSA(N,E)对其进行加密,加密后的信息作为用户ID信息保存在相关注册表LockBit位置full键值内,同时将本地生成RSA密钥对中的RSA公钥(N,E)信息明文方式保存到注册表相关Pulbic位置内。被加密文件将添加0x610字节附加数据,分别为0x100字节的被加密AES密钥信息,0x500字节被加密用户RSA密钥信息,0x10固定串信息。

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

硬编码的RSA(N,E)信息,无私钥情况无法解密full内容,也无法解密文件

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

病毒会对每个文件使用BCryptGenRandom或CryptGenRandom方式生成0x16字节的AES密钥,随后开始尝试对文件进行加密。

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

当无法访问文件时,病毒会尝试更改文件所有者为自身进程,再次尝试访问文件。同时会尝试结束大量数据占用进程和服务(其内包括了国产安全软件相关进程,文档保护相关进程),加密时会避开大量系统关键目录,大量非数据类型后缀的文件。

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

病毒不加密以下白名单相关的文件和文件夹:

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

该病毒还会嗅探局域网内主机135,445端口是否开放,如果开放则尝试遍历其主机内的共享资源进行加密

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

加密文件结束后,文件均被添加.lockbit扩展后缀。由于病毒同时会删除系统卷影备份信息,被加密后无法通过磁盘恢复等方式找回文件。同时该病毒还会修改桌面壁纸显示勒索信息,留下名为Restore-My-Files.txt的勒索信,要求用户登录暗网缴纳赎金,之后获取解密工具,对应暗网地址则提供了文件试用解密功能,聊天购买解密工具议价等服务。

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

三、安全建议

企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。网管可通过强制安全策略要求局域网所有服务器、终端系统使用强密码并设定密码过期策略。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

7、在终端/服务器部署腾讯T-Sec终端安全管理系统,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台,内网各节点漏洞应及时进行漏洞扫描修复。

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

8、使用腾讯T-Sec终端安全管理系统(腾讯御点,产品官网:https://s.tencent.com/product/yd/index.html)拦截病毒木马攻击。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户
1、可启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码
2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

IOCs
MD5
b65198ea45621e29ba3b4fbf250ff686
d2e3b3cbdfd40e549c281b285c7fe9bd
553d21ec9c4e8a08d072e50f3ae0afe1
1f4581b36253f0f5d63e68347d1744a7
94d7e268d4a1bc11f50b7e493a76d7a0
49250b4aa060299f0c8f67349c942d1c
d5c5558214a0859227e380071925ee58

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论