欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

GlobeImposter勒索病毒攻击事件分析

来源:本站整理 作者:佚名 时间:2018-08-23 TAG: 我要投稿

360企业安全监测到,2018年8月21日起多地发生GlobeImposter勒索病毒事件,经过定性分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。根据本次事件特征分析,除已受到攻击的单位外,其它同类型单位也面临风险,需积极应对。
文档信息
文档名称
GlobeImposter勒索攻击事件安全预警通告第三次更新
关键字
勒索病毒GlobeImposter
发布日期
2018年2月26日
更新日期
2018年8月23日
分析团队
360安全监测与响应中心,360威胁情报中心,360安服团队、360天擎
 
 
事件信息
360企业安全监测到2018年8月21日起,多地发生GlobeImposter勒索病毒事件,经过定性分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。
360安全监测与响应中心、 360 威胁情报中心、360安服团队、360天擎对此事件进行了紧密跟踪与分析,认为本次事件不同于普通的勒索病毒事件。
勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击。然而,从2016年下半年开始,随着Crysis/XTBL的出现,通过RDP弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。到了2018年,几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,这其中以GlobeImposter、Crysis为代表,感染用户数量最多,破坏性最强。360安全监测与响应中心在2018年8月16日发布的《GandCrab病毒勒索攻击安全预警通告》中涉及到的GandCrab病毒也是采用RDP弱口令暴力破解服务器密码人工投毒的方式进行勒索。
根据本次事件特征分析,除已受到攻击的单位外,其它同类型单位也面临风险,需积极应对。
黑客突破边界防御后,会以工具辅助手工的方式,对内网其他机器进行渗透。通过对多个现场的调查,黑客所使用的工具包括但不限于:
全功能远控木马
自动化添加管理员的脚本
内网共享扫描工具
Windows 密码抓取工具
网络嗅探、多协议暴破工具
浏览器密码查看工具
攻击者在打开内网突破口后,会在内网对其他主机进行口令暴破。在内网横向移动至一台新的主机后,会尝试进行包括但不限于以下操作:
手动或用工具卸载主机上安装的防护软件
下载或上传黑客工具包
手动启用远程控制以及勒索病毒
 
风险等级
360安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般网络安全预警)
 
容易受攻击组织影响的机构
本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。
综上,符合以下特征的机构将更容易遭到攻击者的侵害:
存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。
内网Windows终端、服务器使用相同或者少数几组口令。
Windows服务器、终端未部署或未及时更新安全加固和杀毒软件
 
处置建议
紧急解决方案
针对本次攻击事件,我们提供紧急解决方案如下:
一、紧急处置方案
1、对于已中招服务器
下线隔离。
2、对于未中招服务器
1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
二、后续跟进方案
1)对于已下线隔离中招服务器,联系专业技术服务机构进行日志及样本分析。
服务器、终端防护
1.  所有服务器、终端应强行实施复杂密码策略,杜绝弱口令
2.  杜绝使用通用密码管理所有机器
3.  安装杀毒软件、终端安全管理软件并及时更新病毒库
4.  及时安装漏洞补丁
5.  服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础
网络防护与安全监测
1.   对内网安全域进行合理划分。各个安全域之间限制严格的 ACL,限制横向移动的范围。
2.   重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。
3.   在网络内架设 IDS/IPS 设备,及时发现、阻断内网的横向移动行为。
4.   在网络内架设全流量记录设备,以及发现内网的横向移动行为,并为追踪溯源提供良好的基础。
应用系统防护及数据备份
1.   应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。
2.   对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。
3.   建立安全灾备预案,一但核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,辟免主系统和备份系统同时被攻击,影响业务连续性。
安全防护本身是一个动态的对抗过程,在以上安全加固措施的基础上,日常工作中,还需要加强系统使用过程的管理与网络安全状态的实时监测:
电脑中不使用不明来历的U盘、移动硬盘等存储设备;不接入公共网络,同时机构的内部网络中不运行不明来历的设备接入。
要常态化的开展安全检查和评估,及时发现安全薄弱环节,及时修补安全漏洞和安全管理机制上的不足,时刻保持系统的安全维持在一个相对较高的水平;(类似定期体检)

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载