欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕

来源:本站整理 作者:佚名 时间:2020-03-10 TAG: 我要投稿

一、概述
近日,腾讯安全威胁情报中心接收到多起勒索病毒反馈,经排查,攻击者均为通过弱口令爆破方式入侵,最终在被攻击机器内投毒。由于部分被攻陷企业内网多台机器使用同一口令,一度导致局域网内多台重要系统被病毒加密。现在正值全民抗疫的关键阶段,很多政企机构采用远程办公,黑客利用RDP弱密码爆破攻击传播勒索病毒的行为,除了数据可能被加密,服务器被入侵,也存在信息泄露风险,对政企单位的网络安全构成严重威胁。
回顾近期这些活跃的利用爆破弱口令攻击的勒索病毒家族,主要包括GlobeImposter-HAPPY*CHOOSE系列,Crysis-海盗系列,Medusalocker-ReadInstructions系列,GarrantyDecrypt-马王系列。为防止全民抗疫期间,各企业远程办公遭遇勒索病毒趁火打劫,我们提醒各政企机构网管提高警惕,严防勒索病毒通过爆破弱口令的方式入侵。

 
1.GlobeImposter-HAPPY*CHOOSE系列
MD5:926f2f03e9eb01dc9fe65ab49ced96fe
GlobeImposter-HAPPY*CHOOSE系列主要变化为,会修改后缀作为HAPPY*CHOOSE格式,勒索信不再使用此前使用的exe弹窗格式,猜测此项变动原因为exe格式更容易被安全软件拦截查杀,导致用户侧无法直观看到勒索信,致使勒索流程共同困难,故改为使用了新样式的名为Decryption Info.html的勒索说明文档。

网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统(腾讯御点)查杀病毒,也可参考以下步骤手动清除:
清理注册表以下位置数据及其对应路径下文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\CertificatesCheck

 
2.Crysis-海盗系列
MD5:13444cbb9e0942fd7f7adb39dba72e54
Crysis弃用了其使用多时的老版本勒索弹窗,改为使用海盗骷髅弹窗信件,勒索方式依然为使用指定邮箱,该病毒攻击者通常使用多种密码抓取工具,攻击成功后持续在内网进行爆破攻击扩散感染。

网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统(腾讯御点)查杀病毒,也可参考以下步骤手动清除:
清除启动目录中的可疑文件,通常名为payload.exe,Info.hta,
同时排查清理AppData\Roaming目录下的可疑文件。

3.Medusalocker-ReadInstructions系列
MD5:ccc6290a1caad9dd709067acfd2bdfc6
Medusalocker勒索病毒加密文件完成后会添加.ReadInstructions扩展后缀,同时留下名为Recovery_Instructions.html扩展后缀,该病毒会创建定时任务,每15分钟执行一次,发现感染该勒索病毒后,在未清理干净病毒情况下,不建议使用移动存储介质对文件进行拷贝,否则可能会致使移动盘内数据同时被加密。

网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统(腾讯御点)查杀病毒,也可参考以下步骤手动清除:
清除计划任务svhost启动项,以及Roaming目录下的svhost.exe

 
4.GarrantyDecrypt-马王系列
MD5:337cdd6d89e93362c8223fb8810dec2c
GarrantyDecrypt-马王系列较以前版本勒索说明信有些许变动,同时会释放到appdata目录中名为_uninstalling_.png图作勒索壁纸,壁纸显示群马奔腾图,加密文件扩展后缀为.horseleader,该病毒在完成目标文件加密流程后,会执行自删除操作,故染毒环境中通常没有病毒母体。

二、攻击分析
观察众多遭勒索病毒攻击企业,排查后多为被攻击者通过RDP爆破方式后远程投毒,同时攻击者通常还试图以被攻击机器为跳板机,在内网持续渗透以扩大战果。例如下图中机器被攻击沦陷时间为2020.2.25约6时,于6:44时机器内被投递勒索病毒,系统数据遭受病毒加密。

查看系统日志,可知系统在2020.2.24日已经开始遭受到大量弱口令爆破攻击,爆破过程长达数十个小时,最终机器被攻陷。

排查机器内环境,同时还在机器内检出了攻击者使用的密码抓取工具,内网扫描嗅探工具,攻击者企图使用mimikztz抓取本地机器登录口令后尝试继续对局域网内其它机器进行爆破攻击。而在多数情况下,攻击者也并不局限于使用一种密码抓取工具,以往我们观察到的勒索现场,攻击者就使用了数十款密码抓取工具(包括mimikztz本地口令抓取,各主流类浏览器密码抓取,邮箱密码抓取,RDP,VNC登录口令抓取等工具),这也极大提高了其内网再次发起攻击的成功率。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载