来势汹汹,不到一月余已有多家海外企业遭受新型勒索Hive毒手

2021-08-09 9,542

事件背景

近日,深信服终端安全团队捕获到了HIVE勒索病毒的样本,和其他勒索病毒一样,该勒索病毒会将终端上的文件加密病毒留下勒索信,且HIVE勒索团伙会在加密文件前进行数据窃取,受害者除却业务宕机之外,也存在数据泄露的风险。

根据海外媒体报道,7月初加拿大商业地产软件解决方案公司 Altus Group正是遭受Hive勒索攻击导致数据泄露。且安全研究人员发现,不到一个月,该勒索团伙已公布了多家企业的数据信息。

图片1.png

/图源于网络:Hive网站上的数据条目/

样本分析

勒索方式

Hive勒索病毒采用AES+RSA加密算法,在执行后,受害者终端上大部分文件会被加密成*.hive的文件。

图片2.png


并且会在每一个目录下留下一个HOW TO DECRYPT的文本文档,受害者可根据文档中的账号密码登陆黑客提供的网站后用赎金换取解密密钥。

图片3.png

 

Go语言编译

通过对样本的分析,发现该勒索病毒是一个用Go语言编写开发的可执行文件,并且使用了UPX进行压缩,安全研究人员通过对文件解压以后进行了分析:

其main函数中通过调用go的flag包来设置一些默认的执行参数:

图片4.png

 

其中使用go的正则表达式regexp,来关闭sql、oracle、redis等数据库服务,遍历当前进程列表,关闭mspub以及msdesktop相关进程,同时会跳过一些无需加密的文件,如后缀为.lnk的快捷方式文件。

另外扫描磁盘以及加密文件的操作也都是利用go的协程来执行的,在函数返回前利用Wait函数同步协程执行完毕。

扫描计算机的存储设备:

图片5.png


可以看出病毒不仅会尝试读取计算机硬盘中的文件,移动存储设备中的文件也会被尝试读取并加密。并且在这个函数中会再次创建一个协程用来生成要加密的文件绝对路径:

图片6.png

 

加密过程:

病毒首先生成加密秘钥:

图片7.png


生成进程快照,遍历当前进程列表并结束相关的进程:

图片8.png


停止数据库相关服务,利用协程来完成:

图片9.png


为协程注册的匿名函数,停止服务:

图片10.png 


加密过程中为协程注册匿名函数,生成*.hive的文件名:

图片11.png


对文件进行重命名以后调用加密函数对文件数据进行加密:

图片12.png


加密后重新写回文件:

图片13.png


找到自身路径并生成删除自身的bat命令,然后开始执行删除自身操作:

图片14.png

图片15.png


同时利用vssadmin命令来删除所有已安装卷影副本来防止磁盘中的数据被恢复:

图片16.png


通过分析,可以发现此病毒会生成用以勒索的文本和被害者登录网站的用户名和密码。在完成对被害者的文件加密之后,写入文本文档。

图片17.png

日常的加固和防御建议

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份,尽量关闭不必要的文件共享权限。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

5、如果业务上无需使用RDP的,建议关闭RDP。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/164163.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:281 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号