多家医院惨遭Globelmposter变种勒索攻击 产业链背后病仍迷雾重重

x
用微信扫描二维码
分享至好友和朋友圈

  背景

  近日,奇安信威胁情报中心红雨滴团队通过日常监控发现,专门针对传统行业、教育机构、企事业单位、医院及政府部门的Globelmposter勒索软件再出新变种,此次变种一改过去使用十二生肖的英文名+数字的风格(如:Rabbit6666、Dragon6666),而采用了部分古希腊十二神的英文名+数字作为加密文件后缀(如:Aphrodite666、Ares666)。

  下图为本次Globelmposter变种后缀名所涉及的古希腊十二神的命名,从下图即可看出,未来一段时间该勒索软件将继续肆虐网络战场。

  

  而被发现出现变种,也就意味着,有目标被攻击了。就在刚刚到来的7月初,Globelmposter变种攻击活动针对国内医院发起了强势攻击,且医院大多位于一线城市,此外还有食品等传统行业公司波及此次攻击活动。

  虽目前已经对攻击活动进行应急响应处理,但由于Globelmposter勒索软件使用了RSA2048算法进行文件加密,目前暂无解密工具,而市面上公开宣传可以解密的大多为“黑中介”,谨防上当受骗。

  最后,我们将在同源分析章节,针对Globelmposter的幕后制作者的近期活动,进行分析与猜想。

  样本分析

  首先,本次攻击活动的Globelmposter十二神变种样本在运行后,首先如往常一样会提升运行权限。

  

  并禁用Windows defender

  

  执行一系列常规持久化操作,如修改注册表,添加自启动项等。

  

  并调用CMD命令,停止并禁用相关数据库服务

  

  在每个目录下生成.DF7ADA61E0284DDD4F1E文件和勒索信,内容为加密后的密钥,

  

  开始遍历磁盘文件

  

  同时排除文件和后缀名如下

  windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs

  “.dll”、”.lnk”、”.ini”、”.sys”

  对文件进行加密,加密后的文件后缀为Ares666

  

  加密完成之后调用CMD命令,删除卷影,日志和RDP记录

  

  最后执行自删除操作

  

  可见,生成的勒索信“HOW TO BACK YOUR FILES.txt”如下所示。

  

  同源分析

  Globelmposter勒索病毒自2017年,变种涉及3代,并且频频在国内爆发,针对的且大多为传统行业、教育机构、企事业单位、医院及政府部门,从曝光的资料显示,目前其已形成了由勒索软件制作商主导,层层设置代理的产业链。

  而该黑产业务链极为成熟,其中包括黑客投放勒索、网站宣传解密途径,通过黑中介解密文件等等。

  

  而在此,我们通过对样本进行同源分析,发现病毒作者,除了售卖Globelmposter的代理权外,还会直接沿用Globelmposter的代码框架,并进一步进行售卖操作。

  首先,我们通过一些特征,发现了下面这个具有明显Globelmposter特征的样本。

  样本代码架构都与该Globelmposter变种高度一致

  

  不同点在于其使用伪装成系统文件的加密后缀名(如:systems32x)

  

  以及勒索信息,其中勒索信息给出了联系的邮箱地址。

  

  结合该维度,我们继续进行挖掘后,发现了一些线索,下列说明的样本代码执行流程均与Gobelmposter的执行流程一致。

  

  一、名为middleman2020.exe的勒索样本,2019-06-21 08:45:03通过Web页面上传至VT,西班牙IP上传。该样本加密后缀为middleman2020,勒索信内容与上述样本一致。

  

  二、名为Dragon4444.exe的勒索样本,2019-06-21 06:09:09通过Web页面上传至VT,中国IP上传,后缀名为常见的十二生肖的Dragon4444。

  有趣的是,此时的勒索信息中,邮箱变更为了China.helper@aol.com

  

  三、名为test.exe的带vmp壳的勒索样本,2019-05-19 03:09:38通过VTweb接口上传,上传地中国,后缀名为勒索信息中的邮箱名

  勒索信息与第一个样本一致。

  

  

  由于使用的Globelmposter特征为样本的最新的特征,基于上述种种迹象,红雨滴安全研究团队通过分析与猜测,得到下面的猜想,仅供参考。

  三个样本,从上传行为来看,均为手工上传,从样本的新鲜度来看,目前在视野范围内暂未见过一和三样本的使用情况,目前推测为买家对勒索病毒进行购买后,上传至VT进行测试。

  而从一和二的上传时间为同一天来看,怀疑为不同的买家通过同一渠道购置攻击样本,并直接命名为勒索加密的后缀名,进行上传测试。

  而第三个样本,暂时怀疑为制造商或买家对样本进行vmp加壳后,上传VT进行测试,结合Globelmposter在中国境内肆虐的场景,我们认为,买家是中国人的概率非常大,而制造商对于中国国情以及文化也特别熟悉。

  更加有趣的是,当我们对其中一个涉及china的邮箱进行搜索后,我们发现了一个含有网安众安标题的链接中,内容含有该邮箱(文章已经被删除)。

  

  通过其他渠道发现了5月的样本,经过盘问,对方声称可以解密最新的样本,结合其他信息可以确认其为中间商。

  

  最后,我们认为,这批不同的样本,其实都是由同一个病毒制作商(内部命名为Gaol)进行制造,使用同一个框架,而仅仅根据不同买家的需求进行后缀的更换,勒索信息的更换,甚至帮忙加壳等等。

  因此回归到最后的问题,在如此严密的层层设置代理的产业链,即使知道这批样本都是来源于同一个制作商,仍然很难去进行溯源。这也是为何GandCrab勒索软件制造者如今仍逍遥自在。

  当然,奇安信威胁情报中心红雨滴团队仍然会继续追踪,只为拨开那迷雾重重背后的真相。

  处置建议:

  1.提高安全意识,保持良好的上网习惯,做好重要数据的离线备份。

  2.不要打开来历不明的邮件附件。

  3.在Windows中禁用U盘的“自动运行”功能。

  4.打齐操作系统安全补丁,及时升级Web、数据库等服务程序,防止病毒利用漏洞传播。

  5. 尽量关闭不必要的端口,如 445、135,139 等,对 3389、5900 等端口可进行白名单配置,只允许白名单内的 IP 连接登陆。

  6.避免使用弱口令,采用复杂密码,设置登录失败次数限制,防止暴力破解攻击。

  7. 安装奇安信天擎新一代终端安全管理系统,定期扫描电脑,及时升级更新病毒库保持杀毒软件的良好运行。

  总结

  由于Globelmposter攻击手法十分丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,因此建议您严格参照处置建议进行操作,尤其针对RDP爆破一条,务必使用带标点符号和大小写字母的强密码,且不要打开任何未知来源的电子邮件或者QQ等社交媒体传播的文件,使用奇安信天擎对文件进行扫描,以确保它不包含任何恶意文档或文件。

  奇安信威胁情报中心红雨滴安全研究团队最后再次提醒各企业用户,加强员工的安全意识培训是企业信息安全建设中最重要的一环,如有需要,企业用户可以建设态势感知,完善资产管理及持续监控能力,并积极引入威胁情报,以尽可能防御此类攻击。

  目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对Globelmposter的检测。

  

  IOC

  样本MD5

  50d71f705cb590e286cbd910b143c665

  1df344f59ef9ca93fa8591498af5f57d

  c2ab4ed1596158d78a94b52a386765a7

  49980e53f3558e45cbdd2b1db24be9da

  b9a8dc3a2c6f04fa9958edd2b5e08610

  0f40ec58ba45d0d74530a34cd9318db7

  邮箱

  Sin_Eater.666@aol.com

  crypt@consultant.com

  systems32x@tutanota.com

  help32xme@usa.com

  additional.mail@mail.com

  middleman2020@protonmail.com

  middleman2020@tutanota.com

  epta.mcold@gmail.com

  epta.mcold@yahoo.com

  China.helper@aol.com

  China.helper@india.com

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。

跟贴 跟贴 0 参与 0
© 1997-2019 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 网站地图 | 意见反馈 | 不良信息举报

奇安信威胁情报中心

国内领先的威胁情报中心

头像

奇安信威胁情报中心

国内领先的威胁情报中心

6

篇文章

12

人关注

列表加载中...
请登录后再关注
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码