** 天一解密(www.fu-dan.com)**复旦企业安全监测到,2018年8月起多地发生GlobeImposter勒索病毒事件,经过定性分析,×××者在突破边界防御后利用×××工具进行内网×××并选择高价值目标服务器人工投放勒索病毒。此×××团伙主要×××开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为:pig4444/dog4444/Ox4444/Tiger4444/Rabbit4444/Dragon4444/Snake4444/Horse4444。
根据本次事件特征分析,除已受到×××的单位外,其它同类型单位也面临风险,需积极应对。
文档信息
文档名称 GlobeImposter勒索×××事件安全预警通告第三次更新
关键字 勒索病毒GlobeImposter
发布日期 2018年2月26日
更新日期 2018年8月23日
分析团队 复旦解密(www.fu-dan.cn)
事件信息
复旦解密企业安全监测到2018年8月21日起,多地发生GlobeImposter勒索病毒事件,经过定性分析,×××者在突破边界防御后利用×××工具进行内网×××并选择高价值目标服务器人工投放勒索病毒。此×××团伙主要×××开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为pig4444/dog4444/Ox4444/Tiger4444/Rabbit4444/Dragon4444/Snake4444/Horse4444
勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件×××。然而,从2016年下半年开始,随着Crysis/XTBL的出现,通过RDP弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。到了2018年,几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,这其中以GlobeImposter、Crysis为代表,感染用户数量最多,破坏性最强。天一解密安全监测与响应中心在2018年8月16日发布的《GandCrab病毒勒索×××安全预警通告》中涉及到的GandCrab病毒也是采用RDP弱口令暴力破解服务器密码人工投毒的方式进行勒索。
根据本次事件特征分析,除已受到×××的单位外,其它同类型单位也面临风险,需积极应对。
×××突破边界防御后,会以工具辅助手工的方式,对内网其他机器进行×××。通过对多个现场的调查,×××所使用的工具包括但不限于:
1. 全功能远控×××
2. 自动化添加管理员的脚本
3. 内网共享扫描工具
4. Windows 密码抓取工具
5. 网络嗅探、多协议暴破工具
6. 浏览器密码查看工具
×××者在打开内网突破口后,会在内网对其他主机进行口令暴破。在内网横向移动至一台新的主机后,会尝试进行包括但不限于以下操作:
1. 手动或用工具卸载主机上安装的防护软件
2. 下载或上传×××工具包
3. 手动启用远程控制以及勒索病毒
风险等级
天一安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般网络安全预警)
容易受×××组织影响的机构
本次×××者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。
综上,符合以下特征的机构将更容易遭到×××者的侵害:
1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。
2. 内网Windows终端、服务器使用相同或者少数几组口令。
3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件
处置建议
一、紧急处置方案
1、对于已中招服务器
下线隔离。
2、对于未中招服务器
1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。