多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕 | Sunbet
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

Sunbet_安全工具 申博 28次浏览 已收录 0个评论

一、概述

近日,腾讯安全威胁情报中心接收到多起勒索病毒反馈,经排查,攻击者均为通过弱口令爆破方式入侵,最终在被攻击机器内投毒。由于部分被攻陷企业内网多台机器使用同一口令,一度导致局域网内多台重要系统被病毒加密。现在正值全民抗疫的关键阶段,很多政企机构采用远程办公,黑客利用RDP弱密码爆破攻击传播勒索病毒的行为,除了数据可能被加密,服务器被入侵,也存在信息泄露风险,对政企单位的网络安全构成严重威胁。

回顾近期这些活跃的利用爆破弱口令攻击的勒索病毒家族,主要包括GlobeImposter-HAPPY*CHOOSE系列,Crysis-海盗系列,Medusalocker-ReadInstructions系列,GarrantyDecrypt-马王系列。为防止全民抗疫期间,各企业远程办公遭遇勒索病毒趁火打劫,我们提醒各政企机构网管提高警惕,严防勒索病毒通过爆破弱口令的方式入侵。

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

 

1.GlobeImposter-HAPPY*CHOOSE系列

MD5:926f2f03e9eb01dc9fe65ab49ced96fe

GlobeImposter-HAPPY*CHOOSE系列主要变化为,会修改后缀作为HAPPY*CHOOSE格式,勒索信不再使用此前使用的exe弹窗格式,猜测此项变动原因为exe格式更容易被安全软件拦截查杀,导致用户侧无法直观看到勒索信,致使勒索流程共同困难,故改为使用了新样式的名为Decryption Info.html的勒索说明文档。

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统(腾讯御点)查杀病毒,也可参考以下步骤手动清除:

清理注册表以下位置数据及其对应路径下文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\CertificatesCheck

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

 

2.Crysis-海盗系列

MD5:13444cbb9e0942fd7f7adb39dba72e54

Crysis弃用了其使用多时的老版本勒索弹窗,改为使用海盗骷髅弹窗信件,勒索方式依然为使用指定邮箱,该病毒攻击者通常使用多种密码抓取工具,攻击成功后持续在内网进行爆破攻击扩散感染。

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统(腾讯御点)查杀病毒,也可参考以下步骤手动清除:

清除启动目录中的可疑文件,通常名为payload.exe,Info.hta,

同时排查清理AppData\Roaming目录下的可疑文件。

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

3.Medusalocker-ReadInstructions系列

MD5:ccc6290a1caad9dd709067acfd2bdfc6

Medusalocker勒索病毒加密文件完成后会添加.ReadInstructions扩展后缀,同时留下名为Recovery_Instructions.html扩展后缀,该病毒会创建定时任务,每15分钟执行一次,发现感染该勒索病毒后,在未清理干净病毒情况下,不建议使用移动存储介质对文件进行拷贝,否则可能会致使移动盘内数据同时被加密。

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统(腾讯御点)查杀病毒,也可参考以下步骤手动清除: 

清除计划任务svhost启动项,以及Roaming目录下的svhost.exe

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

 

4.GarrantyDecrypt-马王系列

【胖猴小渗透】记一次SSRF漏洞的学习和利用

1.前言 本文主要记录一次我们在复盘嘶吼网站渗透报告时遇到的一个SSRF漏洞。此漏洞并结合腾讯云的API接口,可以获取大量嘶吼服务器的敏感信息。利用这些敏感信息,又可以进行更为深入的渗透。 这篇文章将会发表在嘶吼网站上,渗透测试也是经过了嘶吼的官方授权,各位读者可以放心食用。这里由衷感谢漏洞的提交者。本篇中提到的漏洞已于2019年修复完毕,大家就不要再尝试了,此外,温馨提示:未授权的渗透行为是非法的。� 2.漏洞介绍 SSRF(Server-Side Request Forgery, 服务器端请求伪造) 是一种由攻击者利用服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问,仅能通过内网访问的资源。SSRF 形成的原因可以概述为:服务端提供了从其他服务器获取数据的功能,但没有对目标服务器做任何

MD5:337cdd6d89e93362c8223fb8810dec2c

GarrantyDecrypt-马王系列较以前版本勒索说明信有些许变动,同时会释放到appdata目录中名为_uninstalling_.png图作勒索壁纸,壁纸显示群马奔腾图,加密文件扩展后缀为.horseleader,该病毒在完成目标文件加密流程后,会执行自删除操作,故染毒环境中通常没有病毒母体。

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

二、攻击分析

观察众多遭勒索病毒攻击企业,排查后多为被攻击者通过RDP爆破方式后远程投毒,同时攻击者通常还试图以被攻击机器为跳板机,在内网持续渗透以扩大战果。例如下图中机器被攻击沦陷时间为2020.2.25约6时,于6:44时机器内被投递勒索病毒,系统数据遭受病毒加密。

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

查看系统日志,可知系统在2020.2.24日已经开始遭受到大量弱口令爆破攻击,爆破过程长达数十个小时,最终机器被攻陷。

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

排查机器内环境,同时还在机器内检出了攻击者使用的密码抓取工具,内网扫描嗅探工具,攻击者企图使用mimikztz抓取本地机器登录口令后尝试继续对局域网内其它机器进行爆破攻击。而在多数情况下,攻击者也并不局限于使用一种密码抓取工具,以往我们观察到的勒索现场,攻击者就使用了数十款密码抓取工具(包括mimikztz本地口令抓取,各主流类浏览器密码抓取,邮箱密码抓取,RDP,VNC登录口令抓取等工具),这也极大提高了其内网再次发起攻击的成功率。

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

三、安全建议

目前正值全民抗疫的关键时期,网络黑产趁火打劫,会给相关单位造成严重影响,腾讯安全专家建议相关企业参考以下方案加固信息系统,避免遭遇勒索病毒攻击。

企业用户:

1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务

个人用户:

1、切勿随意打开陌生邮件附件,强烈建议关闭Office执行宏代码。

IOCs

MD5:

926f2f03e9eb01dc9fe65ab49ced96fe

13444cbb9e0942fd7f7adb39dba72e54

ccc6290a1caad9dd709067acfd2bdfc6

337cdd6d89e93362c8223fb8810dec2c


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址