lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招 – 作者:腾讯电脑管家

一、概述

腾讯安全威胁情报中心检测到国内有企业遭受lockbit勒索病毒攻击,被加密破坏的文件添加了. Lockbit后辍。该病毒出现于2019年末,传播方式主要利用RDP口令爆破。该病毒此前主要活跃在国外,观察当前病毒版本,其进程结束(防文件占用)列表内已出现国产安全软件,这也代表着该病毒团伙已将其狩猎目标拓展到了国内。

经分析,该病毒使用RSA+AES算法加密文件,加密过程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率,从而实现对文件的高性能加密流程。由于该病毒暂无有效的解密工具,被攻击后无法恢复文件,所以我们提醒各政企机构提高警惕。

1.png

 二、分析

为了提升病毒读写文件效率,病毒通过采取IOCP完成端口模型,后续在工作者线程内读取完成消息队列,使用异步读写文件的方式实现病毒加密文件过程的高性能化。

2.png

在工作者线程内处理完成队列消息,根据IOCP_QUEUE_COMPLETECODE对文件数据进行加密,读写消息再投递。

3.png

4.jpg

同时为了进一步提升病毒加密过程效率,病毒运行后会检查CPU判断是否支持AES-NI指令集,加密时若支持相关指令则使用 aeskeygenassist,aesenc等加解密专用指令完成AES加密流程,否则使用其它常用计算指令完成加密流程。

5.png

 

6.png

 

加密文件前病毒会首先本地生成RSA密钥对信息,使用硬编码的RSA(N,E)对其进行加密,加密后的信息作为用户ID信息保存在相关注册表LockBit位置full键值内,同时将本地生成RSA密钥对中的RSA公钥(N,E)信息明文方式保存到注册表相关Pulbic位置内。被加密文件将添加0x610字节附加数据,分别为0x100字节的被加密AES密钥信息,0x500字节被加密用户RSA密钥信息,0x10固定串信息。

7.png

8.png

硬编码的RSA(N,E)信息,无私钥情况无法解密full内容,也无法解密文件

9.png

病毒会对每个文件使用BCryptGenRandom或CryptGenRandom方式生成0x16字节的AES密钥,随后开始尝试对文件进行加密。

10.png

当无法访问文件时,病毒会尝试更改文件所有者为自身进程,再次尝试访问文件。同时会尝试结束大量数据占用进程和服务(其内包括了国产安全软件相关进程,文档保护相关进程),加密时会避开大量系统关键目录,大量非数据类型后缀的文件。

11.png

12.png

病毒不加密以下白名单相关的文件和文件夹:

13.png

该病毒还会嗅探局域网内主机135,445端口是否开放,如果开放则尝试遍历其主机内的共享资源进行加密

14.png

15.png

加密文件结束后,文件均被添加.lockbit扩展后缀。由于病毒同时会删除系统卷影备份信息,被加密后无法通过磁盘恢复等方式找回文件。同时该病毒还会修改桌面壁纸显示勒索信息,留下名为Restore-My-Files.txt的勒索信,要求用户登录暗网缴纳赎金,之后获取解密工具,对应暗网地址则提供了文件试用解密功能,聊天购买解密工具议价等服务。

16.png

17.png

18.png

三、安全建议

企业用户:

1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。网管可通过强制安全策略要求局域网所有服务器、终端系统使用强密码并设定密码过期策略。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。

19.png

8、建议全网安装腾讯T-Sec终端安全管理系统(腾讯御点,产品官网:https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户:

1、可启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码

2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

20.png

IOCs

MD5

b65198ea45621e29ba3b4fbf250ff686

d2e3b3cbdfd40e549c281b285c7fe9bd

553d21ec9c4e8a08d072e50f3ae0afe1

1f4581b36253f0f5d63e68347d1744a7

94d7e268d4a1bc11f50b7e493a76d7a0

49250b4aa060299f0c8f67349c942d1c

d5c5558214a0859227e380071925ee58

来源:freebuf.com 2020-04-23 09:31:47 by: 腾讯电脑管家

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论