GlobeImposter攻破某域控制器,局域网内横向散布致企业损失惨重 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

GlobeImposter攻破某域控制器,局域网内横向散布致企业损失惨重

申博_安全防护 申博 95次浏览 已收录 0个评论

一、事宜回忆

近日,腾讯平安御见要挟情报中心接到某企业乞助,称其局域网内8台效劳器遭遇讹诈病毒进击。工程师现场勘探后,确认该事宜为GlobeImposter讹诈病毒经由过程外网爆破入侵该公司域控效劳器,随后应用该机械作为跳板机,登录到该公司内别的机械再次举行讹诈加密。

 

腾讯平安专家经由过程排查被进击公司的染毒机械,可知该公司染毒的第一台效劳器为域治理效劳器,该机械因为开启了远程桌面且因为其IP地点暴露在外网从而被爆破入侵,因为该效劳器为该公司的域掌握器,被入侵掌握以后涌现灾难性效果:进击者可恣意登录局域网内别的机械,一般情况下,域治理员具有登录域内一切计算机的权限。进击者掌握域掌握器以后,就有才能在恣意一台计算机运转恣意顺序,能够致使企业大批秘要信息泄漏。本例中,进击者挑选个中8台电脑实行讹诈病毒加密进击,灾情进一步被放大,企业遭遇丧失严峻。

同时在被进击机械上找到了平安软件匹敌东西ProcessHacker,黑客一般运用该东西与机械上的平安软件做匹敌。

内网嗅探扫描东西,黑客可经由过程该类东西疾速猎取当前局域网内其他运动机械尝试进击

暗码抓取东西,运用该类东西,黑客可猎取当地机械相干口令,作为内网横向流传博过程当中的弱口令运用。因为部份企业内网平安步伐柔弱,多台效劳器运用一致暗码,此类进击手段一般也简朴直接且有用。

另有病毒运转后的留下的相干日记文件,疑似病毒的副本文件

视察后可知机械为感染了GlobeImposter-865系列病毒

GlobeImposter攻破某域控制器,局域网内横向散布致企业损失惨重

GlobeImposter该系列病毒版本加密文件后会增加.主神865扩大后缀,同时留下名为HOW TO BACK YOUR FILES.exe的讹诈申明顺序

GlobeImposter攻破某域控制器,局域网内横向散布致企业损失惨重

因为GlobeImposter一般运用RDP爆破入侵加密企业效劳器,所以当加密文件完成后,该病毒除删除体系卷影外,还会清晰其注册表中的RDP衔接信息,同时加密前会完毕大批的数据库相干效劳历程,防备其形成的文件占用没法加密。

GlobeImposter攻破某域控制器,局域网内横向散布致企业损失惨重

病毒加密时运用以下白名单关键词做过滤

windows bootmgr temp pagefile.sys boot ids.txt ntuser.dat perflogs MSBuild

同时会优先加密大批文件范例,重要为数据代价较高的文件范例

GlobeImposter攻破某域控制器,局域网内横向散布致企业损失惨重

二、关于GlobeImposter讹诈病毒家属

Ostap:凌驾34,000行的JavaScript下载器用于TrickBot分发运动中

介绍 威胁行为者在危害系统时,通常需要考虑如何进入目标网络才能避免被检测到,而传递恶意附件的网络钓鱼邮件往往就充当了初始感染媒介的角色。 此外,攻击者还需要一种方法,在安全监控产品的眼皮底下执行代码。最常见的一种代码执行技术就是使用解释脚本语言,可以在操作系统上运行而不需要额外的依赖关系。以Windows为例,受到攻击者青睐的语言包括PowerShell、VBScript、JScript、VBA,以及滥用cmd.exe来执行指令。 攻击者和防御者的关系就像猫和老鼠,在进步的道路上不断追逐。我

GlobeImposter涌现于2017年中,加密文件完成后会留下名为HOW TO BACK YOUR FILES.(txt html exe)范例的讹诈申明文件。该病毒加密扩大后缀繁多,其范围运用且感染众多的范例有12生肖4444,12主神666,以及如今较多的12主神865等系列。因为该病毒涌现至今依旧无有用的解密东西,因而我们提示各政企机构进步小心。

GloeImposter众多运用后缀(不局限于以下范例):

4444系列:

.ox4444 .help4444 .all4444 .china4444 .monkey4444 .snake4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Horse4444 .Goat4444 .Rooster4444 .Dog4444 .Pig4444

666系列:

.Zeus666 .Hera666 .Poseidon666 .Hades666 .Hestia666 .Ares666 .Athene666 .Hermes666 .Hephaestus666 .Apollo666 .Aphrodite666 .Artemis666

865系列:

.Zeus865 .Hera865 .Poseidon865 .Hades865 .Hestia865 .Ares865 .Athene865 .Hermes865 .Hephaestus865 .Apollo865 .Aphrodite865 .Artemis865

视察近期GolbeImposter感染趋向可知,该病毒虽然在月中有感染下落,但视察其团体波峰,可得其团体趋向依旧呈间歇性上涨。经由过程视察其感染行业散布,也可知该病毒在国内也从初期的广撒网形式,改变成如今重要针对数据代价较高行业的效劳器实行进击,从而提拔其讹诈赎金胜利率。

三、平安发起

企业用户:

重点防备步伐

1.针对该讹诈病毒重要经由过程RDP(远程桌面效劳)爆破进击的特性,发起企业马上修正远程桌面衔接运用弱口令,庞杂口令能够削减效劳器被黑客爆破胜利的时机。治理员应对远程桌面效劳运用的IP地点举行必要限定,或修正默许的3389端口为自定义,设置防火墙战略,阻挠进击者IP衔接。

2.发起企业网管设置响应的域平安战略,经由过程修正计算机组战略,设置帐户锁定战略,限定登录失利次数,默许为不受限,我们能够将其限定为3-10之内。

操纵步骤:

运转,gpedit.msc,翻开组战略编辑器,在计算机设置->平安设置->帐户战略->帐户锁定战略,将帐户锁定的阈值,设定的稍小一些。

GlobeImposter攻破某域控制器,局域网内横向散布致企业损失惨重

 

通用的平安步伐,防备入侵者爆破胜利以后在内网横向散布:

1、发起企业内网封闭不必要的收集端口,下降黑客在内网进击流传的胜利率。如:445、135,139等,对3389,5900等端口可举行白名单设置,只允许白名单内的IP衔接上岸。

2、只管封闭不必要的文件同享,若有须要,请运用ACL和强暗码保护来限定接见权限,禁用对同享文件夹的匿名接见。

3、采纳高强度的暗码,防止运用弱口令暗码,并按期替换暗码。发起效劳器暗码运用高强度且无规律暗码,而且强迫请求每一个效劳器运用差别暗码治理。一样,也能够经由过程域平安战略来一致设置暗码强度。

4、对没有互联需求的效劳器/工作站内部接见设置响应掌握,防止可连外网效劳器被进击后作为跳板进一步进击其他效劳器。

5、对重要文件和数据(数据库等数据)举行按期非当地备份。

6、在终端/效劳器布置专业平安防护软件。

个人用户:

1、启用腾讯电脑管家,勿随便翻开生疏邮件,封闭Office实行宏代码。

2、翻开电脑管家的文档守护者功用,应用磁盘冗余空间自动备份数据文档,纵然发生意外,数据也可未雨绸缪。

原文地点: https://www.4hou.com/system/20250.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明GlobeImposter攻破某域控制器,局域网内横向散布致企业损失惨重
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址