欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

GlobeImposter攻破某域控制器,局域网内横向扩散致企业损失惨重

来源:本站整理 作者:佚名 时间:2019-09-11 TAG: 我要投稿

一、事件回顾
近日,腾讯安全御见威胁情报中心接到某企业求助,称其局域网内8台服务器遭受勒索病毒攻击。工程师现场勘察后,确认该事件为GlobeImposter勒索病毒通过外网爆破入侵该公司域控服务器,随后利用该机器作为跳板机,登录到该公司内其它机器再次进行勒索加密。

黑客入侵示意图
腾讯安全专家通过排查被攻击公司的染毒机器,可知该公司染毒的第一台服务器为域管理服务器,该机器由于开启了远程桌面且由于其IP地址暴露在外网从而被爆破入侵,由于该服务器为该公司的域控制器,被入侵控制之后出现灾难性后果:攻击者可任意登录局域网内其它机器,通常情况下,域管理员具备登录域内所有计算机的权限。攻击者控制域控制器之后,就有能力在任意一台计算机运行任意程序,可能导致企业大量机密信息泄露。本例中,攻击者选择其中8台电脑实施勒索病毒加密攻击,灾情进一步被放大,企业遭受损失严重。

同时在被攻击机器上找到了安全软件对抗工具ProcessHacker,黑客通常使用该工具与机器上的安全软件做对抗。

内网嗅探扫描工具,黑客可通过该类工具快速获取当前局域网内其他活动机器尝试攻击

密码抓取工具,使用该类工具,黑客可获取本地机器相关口令,作为内网横向传播博过程中的弱口令使用。由于部分企业内网安全措施薄弱,多台服务器使用同一密码,此类攻击手法通常也简单直接且有效。

还有病毒运行后的留下的相关日志文件,疑似病毒的副本文件

观察后可知机器为感染了GlobeImposter-865系列病毒

GlobeImposter该系列病毒版本加密文件后会添加.主神865扩展后缀,同时留下名为HOW TO BACK YOUR FILES.exe的勒索说明程序

由于GlobeImposter通常使用RDP爆破入侵加密企业服务器,所以当加密文件完成后,该病毒除删除系统卷影外,还会清楚其注册表中的RDP连接信息,同时加密前会结束大量的数据库相关服务进程,防止其造成的文件占用无法加密。

病毒加密时使用以下白名单关键词做过滤
windows bootmgr temp pagefile.sys boot ids.txt ntuser.dat perflogs MSBuild

同时会优先加密大量文件类型,主要为数据价值较高的文件类型


二、关于GlobeImposter勒索病毒家族
GlobeImposter出现于2017年中,加密文件完成后会留下名为HOW TO BACK YOUR FILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多,其规模使用且感染泛滥的类型有12生肖4444,12主神666,以及现在较多的12主神865等系列。由于该病毒出现至今仍然无有效的解密工具,因此我们提醒各政企机构提高警惕。
GloeImposter泛滥使用后缀(不局限于以下类型):
4444系列:
.ox4444 .help4444 .all4444 .china4444 .monkey4444 .snake4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Horse4444 .Goat4444 .Rooster4444 .Dog4444 .Pig4444
666系列:
.Zeus666 .Hera666 .Poseidon666 .Hades666 .Hestia666 .Ares666 .Athene666 .Hermes666 .Hephaestus666 .Apollo666 .Aphrodite666 .Artemis666
865系列:
.Zeus865 .Hera865 .Poseidon865 .Hades865 .Hestia865 .Ares865 .Athene865 .Hermes865 .Hephaestus865 .Apollo865 .Aphrodite865 .Artemis865
观察近期GolbeImposter感染趋势可知,该病毒虽然在月中有感染下降,但观察其整体波峰,可得其整体趋势依然呈间歇性上涨。通过观察其感染行业分布,也可知该病毒在国内也从早期的广撒网模式,改变为现在主要针对数据价值较高行业的服务器实施攻击,从而提升其勒索赎金成功率。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载