前言
Globelmposter是一种臭名昭著的勒索软件,其变种之多、植入手段极端灵活,使安全管理人员防不胜防,往往忽视一点就会被轻易突入,造成重大损失。我司曾在2019年利用网络流量检测产品(下称iNFA)多次发现其踪迹,比较典型的一例就是在2019年3月11日使用邮件对国内多个个人或组织进行钓鱼,中招者无数,而近日它又“王者归来”,对多个工业企业进行种植和勒索。
事件还原
此次现场应急处理来源于一所工业企业,其生产环境高度依赖于自动化。勒索事件导致多个IT系统无法正常运转,生成系统的重要数据被加密,被加密后的文件后缀均改成C4H。但文件内容不是所有部分被修改,而是“梅花间竹”,部分被加密而部分又没有,其用户ID被放置到了文件最后,黑客利用这些用户ID来定位不同的机器。
根据这些特征可以明确定位用户被种植了勒索软件家族Globelmposter中的变体,通过运用一些追溯和还原手段,可以大致推测出整体过程如下:
用户将某台内网个人机器的RDP端口(TCP 3389)暴露在公网之上,黑客通过口令爆破攻入内网。这可以通过其出口防火墙记录可以得知,因为针对3389端口的访问在几个小时之内高达1600万次,特征已经非常明显,而入侵过程中黑客轮换使用不同的“肉鸡”,其真实地址已无法追踪。
黑客攻入内网后利用mimikatz等工具对曾经访问过其它机器远程桌面的登录记录进行提取,故能在短短数小时内获得数十台机器的RDP管理员密码。而这些机器在晚间没有关机,这从客观上给黑客提供了便利,在获取内部机器植入勒索后,通过横向的扩散对内部其它设备进行了感染。
黑客在获得多个主机的登录密码后,对源代码、数据库文件等重要数据资源进行了加密,并勒索若干个比特币(换算成人民币价值不菲)。
应急响应
在发现这些问题后,现场立即切断了所有网络连接,包括外部出口、内部互联等,并将已经明确发现勒索软件的主机下线(但比较奇怪的是,绝大多数这些机器都安装了“某绒”防病毒软件,但在此勒索软件动作时并未发生适当阻止)。紧接着使用历史备份数据对系统进行恢复,然而不幸的是有些备份数据也被“污染”,已经无法还原。
为了更有效地发现哪些主机可能还存在隐患,在充分准备后,现场恢复了部分网络通讯(但局域网之间的3389、445端口访问并未开启;外网通讯也未开通)并通过我司iNFA产品进行全网检测,期间又发现某些终端存在勒索软件以及挖矿木马痕迹(WannieMine),通过聚铭网络的强大威胁情报功能进行情报碰撞后,及时发现了潜在威胁。
另外,利用iNFA产品也发现多个终端存在可疑网络行为,包括连接境外FTP服务器、内部通过3389端口进行横向扩散等,我们将结果通知用户,经过核实都被一一确认,可以说在企业恢复运营前保证了无异常主机的存在。
分析和总结
虽然,此次事件并不复杂,过程也不算太曲折,但影响面广、结果恶劣,导致企业停产了一段时间,截止到发稿为止还未完全恢复,给工业生产带来了高额损失。
总体总结如下:
首先,尽量不要把存在风险的端口暴露在公网之上,如果一定要则应修改端口号,不要使用保留端口,如3389、22等,而且务必定期修改为高强度的密码;
其次,集中地、持续地监控网络边界的所有安全事件,对于各类渗透、口令爆破、Webshell上传、远控等敏感告警保持足够的敏感,对高可信攻击必须有足够自动化的响应措施并及时通知管理员;
另外,集中监控内网互联安全事件和所谓正常的网络连接,对高危端口的高频访问应尽早调查,以防止恶意软件在内网横向扩散;
利用脆弱性扫描产品,定时在局域网内检查可能存在弱口令的主机,并检测高危漏洞,及时升级补丁,防止恶意软件利用这些漏洞在网内进行渗透;而且在一般日常工作中,不要轻易使用管理员用户进行远程访问;
除了在重要服务器上安装杀毒软件,也应采集其关键日志,包括进程的启动、可疑文件的释放、注册表项的修改(自启动部分)、敏感DNS访问、网络连接的建立/端口开放等,集中分析并从中“猎捕”出可疑文件,防止各类恶意软件的未知变种对目标主机进行侵害;
最后,应将重要数据进行异地、多拷贝备份,而且不要将它们存储在Windows平台机器上,以防止被黑客一点破坏、点点破坏。
总之,透过本次勒索事件,需要总结的应还远不止上述内容。网络空间安全是一个动态过程,必须技术手段结合管理手段方能做到相对安全,故“路漫漫其修远兮”,安全人共勉。
