百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室

背景概述

近日,深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件,攻击者通过MSSQL的xp_cmdshell执行系统命令,从C&C服务器下载并执行勒索病毒。执行的相关命令如下:

图片[1]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

经安全专家分析,攻击者所使用的程序均通过.NET进行Gzip压缩封装,最终将C++编写的PE解压后注入到CasPol.exe进程(.NET的码访问安全性策略工具)执行,经分析为Remcos远控和GlobeImposter勒索病毒。.NET程序的编译时间为2020年11月30号:

图片[2]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

而解压后获取到的真实勒索病毒体编译时间为2019年8月15日,已被威胁情报识别为GlobeImposter勒索病毒家族,程序结构也与此前分析无异:

图片[3]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

威胁情报分析

通过威胁情报中心对该远控样本的C&C服务器地址89.39.107.61进行关联情报分析,查看到该远控样本最初是通过URL:195[.]3[.]146[.]180/CyberGuard.exe进行下载到本地;

图片[4]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

请求访问IP地址:195.3.146.180,出现Apache2服务器的默认页面;图片[5]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

再结合云端情报监控,捕获到该IP地址在2020年12月5日又更新了上传了恶意样本server.exe,使用的下载url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等,推测该IP为攻击者持续更新攻击武器的服务器地址,且攻击者主要通过扫描数据库弱口令或漏洞进行入侵;

图片[6]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科图片[7]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

从云端安全设备告警信息中确认,该IP最初在2020年11月14日被识别为漏洞攻击使用IP,并在最近一个月内频繁进行攻击尝试;图片[8]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

攻击的目标当前主要瞄准政府、能源等多个行业,随着攻击者的武器库的持续更新,攻击者后续还会继续尝试其他入侵方式进行攻击,并很有可能扩散攻击对象范围;企业用户需要尽快做好安全加固,避免遭受损失。

图片[9]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

远控程序分析

.NET程序经过混淆,动态挑时候发现其使用GzipStream类解压资源段的数据,得到一个PE文件,在内存中加载该PE文件并调用Dgjxnaq.Structs.Utils的PublishWorker方法:

图片[10]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

复制自身到Start Menu\Programs\Police\hhide.exe:

图片[11]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

修改注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders的Startup键值为%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Police,实现持久化:

图片[12]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

解压第三层PE,是一个模块名为模块名为ClassLibrary3.dll的文件,其主要功能为加压真实的可执行文件并注入到.Net目录下的CasPol.exe中:

图片[13]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

该文件是一个由C++编写的远控程序,从反编译后的字符串可以看出是Remcos家族的远控,版本为最新的2.7.2 Pro:

图片[14]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

该远控程序具有如下功能:

  • 获取计算机信息,使用RC*4算法加密后发送到C&C服务器;
  • 开启键盘记录器;
  • 截屏发送C&C服务器;
  • C&C服务器地址为39.107.61:2606;

勒索病毒分析

勒索病毒程序与远控程序相同,也是使用.NET进行了多次封装,多次使用使用Gzip解压资源数据,第一层解压的DLL文件首先在temp目录下释放了一个kill.bat,该脚本用于删除包括数据库、虚拟机、WEB、压缩软件、云等各类服务并结束相关进程:

图片[15]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

同时,恶意程序在同目录下释放Ywikoaptapxf.vbs用于拉起和删除bat:

图片[16]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

随后将自身复制到自启动目录下的一个新建目录Agust下,命名为Chinna.exe:

图片[17]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

紧接着再解压两次嵌套的DLL,最终得到一个C++编写的可执行文件,将该文件注入”C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe”进程:

图片[18]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

该C++程序是一个已知的GlobeImposter勒索病毒,程序功能与之前的分析基本吻合,首先对自身进程进行提权操作,然后通过修改注册表来关闭Windows Defender:

图片[19]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

通过注册表设置自启动:

图片[20]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

遍历主机上的磁盘:

图片[21]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

遍历目录,使用RSA算法对文件进行加密:

图片[22]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

其中会跳过特定后缀文件和目录,避免加密系统文件导致系统崩溃:

图片[23]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

加密完成后修改文件后缀:

图片[24]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

在每个根目录下释放勒索信息文件:

图片[25]-百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

基础加固

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给系统和应用打补丁,修复常见高危漏洞;

2、对重要的数据文件定期进行非本地备份;

3、不要点击来源不明的邮件附件,不从不明网站下载软件;

4、尽量关闭不必要的文件共享权限;

5、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;

6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口。

来源:freebuf.com 2020-12-17 16:20:58 by: 深信服千里目安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论