一例勒索病毒内网渗透剖析

Globelmposter勒索病毒自2017年以来持续在境内爆发,已形成了由病毒作者主导,层层设置代理的产业链,涵盖黑客事前下毒、黑中介事后解密、网店宣传等成熟黑产业务链。

深入研究入侵者植入病毒的手法,对该病毒的防范及查杀具有重要意义,本文通过还原一例该病毒在内网投放时候的过程,希望对安全防范策略的部署带来一些帮助。


事件介绍

1.事件概要

后连续勘验数台受害系统,终于发现一份黑客未清理的加密程序,经深信服安全专家确认该病毒为Globelmposter2.0家族最新的变种。

2.内部溯源

经对多台遭受感染的操作系统安全日志排查,发现了黑客使用的内网跳板机IP:

该跳板机硬件环境很好,但安全维护存在严重问题,系统使用常见口令而且对外暴露。黑客入侵该主机后甚至直接修改密码,导致管理员也无法登陆。


内网渗透过程剖析

明确该台跳板机后,在运维人员的配合下,经对该受害系统勘验,基本还原出该入侵者在内网穿透的流程。

1.首日入侵

6月15日前的系统日志均丢失,疑似被黑客清理。根据相关文件戳分析,最早入侵时间应该为6月12日夜间。入侵者下载KPort扫描器在内网进行主机探测扫描,该目录后续被入侵者删除:

2.首轮破解

内网扫描完毕,下一步工作为根据扫描结果对探测到的主机进行口令破解。6月13日夜间,黑客再次来访,执行KPort目录下的Brute程序。

由于该目录已被删除,分析应该是DUBrute黑客工具,用于远程破解3389登陆口令:

3.首轮加密

经过前两晚工作,黑客在该内网应该有了其他肉鸡权限。其于6月15日晚间,开始在当前跳板机执行测试性加密操作。一是下载ProcessHacker系统进程管理工具,确保电脑上没有其他安全软件查杀病毒:

二是下载执行tasksche.exe恶意程序。该程序md5:7f7ccaa16fb15eb1c7399d422f8363e8,为WannaCry一个版本。执行后本机文件瞬间被大量加密,同时产生勒索告知文件:

去年在其他该类事件处置过程中也发现入侵者执行WannaCry,其目的怀疑是测试当前环境是否可用,另外干扰后续溯源工作。

4.扩大入侵规模

6月20日晚,入侵者再次访问该主机,更换入侵方法,再次对内网开展口令探测。这次执行如下动作:

一是获取本机可能使用的其他密码。使用mimikatz获取该系统所有用户密码:

使用NLBrute工具,对其他主机进行3389口令检测:

该工具一直未被清理,所以我们可以看到当时使用的扫描配置、密码表,以及扫描到的主机权限。前两条密码为从本机提取的密码:

目录中有成功扫描到的结果:

黑客临走时候在系统里又执行一款早期感染型病毒(也有可能是恶意工具误带进来):

5.攻击收尾

6月21日、22日期间,入侵者均曾访问该跳板机,查看口令扫描进度。其中21日上午十一时有访问记录,该记录可以看到更上一层的入侵源头,同时白天访问也表明其只是简单登陆进来观察进展,没打算执行进一步动作。

6月24日晚,黑客最后访问该主机,在该内网中大规模执行Globelmposter病毒,受害单位很快发现并开始处置。


事件还原及教训

梳理整个过程,不难发现黑客从入侵该内网,逐步获取其他主机权限,到最终实施病毒投放,期间历经近半月时间。

使用的渗透方法以操作系统密码破解为主,为防止管理员发现,主要选择夜间工作,同时注意清理入侵痕迹。

本次事件只是众多勒索病毒攻击的一个个案情况,即使Globelmposter病毒,不同的入侵者内网入侵的方法也不完全一样。

虽然如此,该事件仍然给我们安全管理带来很大启发:

1.通用内网安全隐患

勒索病毒黑客在内网渗透,往往采用口令破解、永恒之蓝这几种攻击手法。由于目前勒索病毒主要针对Windows系统,所以对内网Windows主机做好密码配置、及时安装安全补丁,可以极大程度降低被攻破的风险。

需要提醒的是杀毒软件在此过程中发挥的作用不是决定性的,因为黑客一旦获取系统密码,便可以登陆系统手工关闭杀毒软件。这一点在很多勒索病毒案例中得到验证。

2.密码安全意识提升

本次被分析的跳板机,不但使用常见密码,而且将密码贴在机柜上,说明管理人员完全没有安全意识,也谈不上对不同系统使用不同密码。

3.日常安全监测

黑客受工作时间、口令探测等条件限制,内网入侵周期往往较长,越是大规模的内网勒索,黑客在其中潜伏的时间越长。

在长达数周甚至数月的内网攻击过程中,通过流量审计、蜜罐监测等方法做好日常安全防护,可以及时发现入侵行为并提前阻止。这也是目前普遍缺乏的问题。

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇