百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击

2020-12-18 7,008

背景概述

近日,深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件,攻击者通过MSSQL的xp_cmdshell执行系统命令,从C&C服务器下载并执行勒索病毒。执行的相关命令如下:

图片1.png 

 

经安全专家分析,攻击者所使用的程序均通过.NET进行Gzip压缩封装,最终将C++编写的PE解压后注入到CasPol.exe进程(.NET的码访问安全性策略工具)执行,经分析为Remcos远控和GlobeImposter勒索病毒。.NET程序的编译时间为2020年11月30号:

图片2.png

 

而解压后获取到的真实勒索病毒体编译时间为2019年8月15日,已被威胁情报识别为GlobeImposter勒索病毒家族,程序结构也与此前分析无异:

图片3.png

 

威胁情报分析

通过威胁情报中心对该远控样本的C&C服务器地址89.39.107.61进行关联情报分析,查看到该远控样本最初是通过URL:195[.]3[.]146[.]180/CyberGuard.exe进行下载到本地;

图片4.png 

 

请求访问IP地址:195.3.146.180,出现Apache2服务器的默认页面;

图片5.png 

 

再结合云端情报监控,捕获到该IP地址在2020年12月5日又更新了上传了恶意样本server.exe,使用的下载url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等,推测该IP为攻击者持续更新攻击武器的服务器地址,且攻击者主要通过扫描数据库弱口令或漏洞进行入侵;

图片6.png

 图片7.png

 

从云端安全设备告警信息中确认,该IP最初在2020年11月14日被识别为漏洞攻击使用IP,并在最近一个月内频繁进行攻击尝试;

图片8.png 

 

攻击的目标当前主要瞄准政府、能源等多个行业,随着攻击者的武器库的持续更新,攻击者后续还会继续尝试其他入侵方式进行攻击,并很有可能扩散攻击对象范围;企业用户需要尽快做好安全加固,避免遭受损失。

图片9.png 

 

远控程序分析

.NET程序经过混淆,动态挑时候发现其使用GzipStream类解压资源段的数据,得到一个PE文件,在内存中加载该PE文件并调用Dgjxnaq.Structs.Utils的PublishWorker方法:

图片10.png 

 

复制自身到Start Menu\Programs\Police\hhide.exe:

图片11.png 

 

修改注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders的Startup键值为%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Police,实现持久化:

图片12.png 

 

解压第三层PE,是一个模块名为模块名为ClassLibrary3.dll的文件,其主要功能为加压真实的可执行文件并注入到.Net目录下的CasPol.exe中:

图片13.png 

 

该文件是一个由C++编写的远控程序,从反编译后的字符串可以看出是Remcos家族的远控,版本为最新的2.7.2 Pro:

图片14.png 

 

该远控程序具有如下功能:

  • 获取计算机信息,使用R**算法加密后发送到C&C服务器;

  • 开启键盘记录器;

  • 截屏发送C&C服务器;

  • C&C服务器地址为89.39.107.61:2606;

 

勒索病毒分析

勒索病毒程序与远控程序相同,也是使用.NET进行了多次封装,多次使用使用Gzip解压资源数据,第一层解压的DLL文件首先在temp目录下释放了一个kill.bat,该脚本用于删除包括数据库、虚拟机、WEB、压缩软件、云等各类服务并结束相关进程:

图片15.png

 

同时,恶意程序在同目录下释放Ywikoaptapxf.vbs用于拉起和删除bat:

图片16.png


随后将自身复制到自启动目录下的一个新建目录Agust下,命名为Chinna.exe:

图片17.png

 

紧接着再解压两次嵌套的DLL,最终得到一个C++编写的可执行文件,将该文件注入"C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"进程:

图片18.png

 

该C++程序是一个已知的GlobeImposter勒索病毒,程序功能与之前的分析基本吻合,首先对自身进程进行提权操作,然后通过修改注册表来关闭Windows Defender:

图片19.png


通过注册表设置自启动:

图片20.png


遍历主机上的磁盘:

图片21.png


遍历目录,使用RSA算法对文件进行加密:

图片22.png


其中会跳过特定后缀文件和目录,避免加密系统文件导致系统崩溃:

图片23.png


加密完成后修改文件后缀:

图片24.png


在每个根目录下释放勒索信息文件:

图片25.png


基础加固

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给系统和应用打补丁,修复常见高危漏洞;

2、对重要的数据文件定期进行非本地备份;

3、不要点击来源不明的邮件附件,不从不明网站下载软件;

4、尽量关闭不必要的文件共享权限;

5、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;

6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/149564.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号