前言
Globelmposter是一種臭名昭著的勒索軟件,其變種之多、植入手段極端靈活,使安全管理人員防不勝防,往往忽視一點就會被輕易突入,造成重大損失。我司曾在2019年利用網絡流量檢測產品(下稱iNFA)多次發現其蹤跡,比較典型的一例就是在2019年3月11日使用郵件對國內多個個人或組織進行釣魚,中招者無數,而近日它又“王者歸來”,對多個工業企業進行種植和勒索。
事件還原
此次現場應急處理來源於一所工業企業,其生產環境高度依賴於自動化。勒索事件導致多個IT系統無法正常運轉,生成系統的重要數據被加密,被加密後的文件後綴均改成C4H。但文件內容不是所有部分被修改,而是“梅花間竹”,部分被加密而部分又沒有,其用戶ID被放置到了文件最後,黑客利用這些用戶ID來定位不同的機器。
根據這些特徵可以明確定位用戶被種植了勒索軟件家族Globelmposter中的變體,通過運用一些追溯和還原手段,可以大致推測出整體過程如下:
用戶將某臺內網個人機器的RDP端口(TCP 3389)暴露在公網之上,黑客通過口令爆破攻入內網。這可以通過其出口防火牆記錄可以得知,因為針對3389端口的訪問在幾個小時之內高達1600萬次,特徵已經非常明顯,而入侵過程中黑客輪換使用不同的“肉雞”,其真實地址已無法追蹤。
黑客攻入內網後利用mimikatz等工具對曾經訪問過其它機器遠程桌面的登錄記錄進行提取,故能在短短數小時內獲得數十臺機器的RDP管理員密碼。而這些機器在晚間沒有關機,這從客觀上給黑客提供了便利,在獲取內部機器植入勒索後,通過橫向的擴散對內部其它設備進行了感染。
黑客在獲得多個主機的登錄密碼後,對源代碼、數據庫文件等重要數據資源進行了加密,並勒索若干個比特幣(換算成人民幣價值不菲)。
應急響應
在發現這些問題後,現場立即切斷了所有網絡連接,包括外部出口、內部互聯等,並將已經明確發現勒索軟件的主機下線(但比較奇怪的是,絕大多數這些機器都安裝了“某絨”防病毒軟件,但在此勒索軟件動作時並未發生適當阻止)。緊接著使用歷史備份數據對系統進行恢復,然而不幸的是有些備份數據也被“汙染”,已經無法還原。
為了更有效地發現哪些主機可能還存在隱患,在充分準備後,現場恢復了部分網絡通訊(但局域網之間的3389、445端口訪問並未開啟;外網通訊也未開通)並通過我司iNFA產品進行全網檢測,期間又發現某些終端存在勒索軟件以及挖礦木馬痕跡(WannieMine),通過聚銘網絡的強大威脅情報功能進行情報碰撞後,及時發現了潛在威脅。
另外,利用iNFA產品也發現多個終端存在可疑網絡行為,包括連接境外FTP服務器、內部通過3389端口進行橫向擴散等,我們將結果通知用戶,經過核實都被一一確認,可以說在企業恢復運營前保證了無異常主機的存在。
分析和總結
雖然,此次事件並不複雜,過程也不算太曲折,但影響面廣、結果惡劣,導致企業停產了一段時間,截止到發稿為止還未完全恢復,給工業生產帶來了高額損失。
總體總結如下:
首先,儘量不要把存在風險的端口暴露在公網之上,如果一定要則應修改端口號,不要使用保留端口,如3389、22等,而且務必定期修改為高強度的密碼;
其次,集中地、持續地監控網絡邊界的所有安全事件,對於各類滲透、口令爆破、Webshell上傳、遠控等敏感告警保持足夠的敏感,對高可信攻擊必須有足夠自動化的響應措施並及時通知管理員;
另外,集中監控內網互聯安全事件和所謂正常的網絡連接,對高危端口的高頻訪問應儘早調查,以防止惡意軟件在內網橫向擴散;
利用脆弱性掃描產品,定時在局域網內檢查可能存在弱口令的主機,並檢測高危漏洞,及時升級補丁,防止惡意軟件利用這些漏洞在網內進行滲透;而且在一般日常工作中,不要輕易使用管理員用戶進行遠程訪問;
除了在重要服務器上安裝殺毒軟件,也應採集其關鍵日誌,包括進程的啟動、可疑文件的釋放、註冊表項的修改(自啟動部分)、敏感DNS訪問、網絡連接的建立/端口開放等,集中分析並從中“獵捕”出可疑文件,防止各類惡意軟件的未知變種對目標主機進行侵害;
最後,應將重要數據進行異地、多拷貝備份,而且不要將它們存儲在Windows平臺機器上,以防止被黑客一點破壞、點點破壞。
總之,透過本次勒索事件,需要總結的應還遠不止上述內容。網絡空間安全是一個動態過程,必須技術手段結合管理手段方能做到相對安全,故“路漫漫其修遠兮”,安全人共勉。
