您现在的位置:首页 > 新闻中心 > 行业新闻 » 

紧急预警!全国集中发生针对高价值服务器的GlobeImposter勒索病毒攻击事件

发布于:2019/10/16 14:11:05

QQ图片20191016141612.jpg

一、事态分析

 金山安全监测到,自2018年8月20日,多地爆发GlobeImposter勒索病毒事件,经过金山病毒监测中心鉴定分析,发现黑客使用的勒索病毒全部为GlobeImposter家族的勒索病毒,黑客在突破企业防护边界后释放并运行勒索病毒,最终导致系统破坏,影响正常工作秩序。

此次GlobeImposter勒索家族攻击事件显现出下列特点:

1GlobeImposter勒索家族习惯以垃圾邮件方式和扫描渗透的方式进行传播,此次勒索病毒的攻击过程极可能为Windows远程桌面服务密码被暴力破解后植入勒索病毒。

2从勒索病毒样本层面看,此次的GlobeImposter勒索软件在代码上进行了一些改变。如以往该家族样本在加密之前会结束诸如"sql"、"outlook"、"excel"、"word"等进程,而此次的勒索病毒则没有这些对进程的检测的代码。

3该次的勒索病毒使用了RSA+AES加密方式,其中AES密钥的生成方式并不是通过传统的随机函数等生成,而是通过CoCreateGuid函数生成全局唯一标识符,并将该标识符做为AES加密算法的secret key。

 

传播方式

钓鱼邮件

网页挂马

操作系统漏洞利用

RDP (远程桌面服务)弱口令(常伴随共享文件夹感染)

Flash 0day

JBOSS反序列化漏洞

JBOSS默认配置漏洞

Weblogic WLS 组件漏洞

PUT任意上传文件漏洞

Tomcat Web管理后台弱口令爆破

CHM帮助文件

带宏脚本Word文档

AutoIt和NSIS等脚本语言生成的程序

Mimikatz渗透等方式进行内网横向移动

SQL server服务器弱口令

Oracle 服务器弱口令

 

易受攻击影响的机构

本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。

综上,符合以下特征的机构将更容易遭到攻击者的侵害:

1存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

2内网Windows终端、服务器使用相同或者少数几组口令。

3Windows服务器、终端未部署或未及时更新安全加固和杀毒软件

 

处理建议

 一、紧急处置方案

1)避免弱口令,系统登录密码尽量采用字母大小写+数字+特殊符号混合组成,且密码位数应足够长,并在登陆安全策略里限制登录失败次数,定期更换系统登录密码。

2)多台机器不要使用相同或相似的系统登录密码。

3)重要资料定期隔离备份。

(4)及时更新系统漏洞并修复,更新Flash、Java、以及一系列Web服务程序的安全漏洞补丁。

5)设置共享文件夹的权限为只读。

6)如非必要,尽量关闭3389、445、139、135等不常用的高危端口,禁用Office宏。

7)不要点击来源不明的网页链接,不要下载和打开来源不明的邮箱附件。

8) SQL server和Oracle数据库密码设置复杂化,并修改默认的端口

 

二、后续跟进方案

     对于已下线隔离中招服务器,联系专业技术服务机构进行日志及样本分析。

服务器、终端防护

1及时检测全网服务器弱口令爆破情况, 所有服务器实施复杂密码策略,杜绝弱口令

2全网漏洞扫描及时补丁修复

3升级防毒墙设备、防病毒软件并及时更新最新病毒库,做好云查杀。

4开启服务器日志功能,追踪日志信息。 

GlobeImposter勒索者病毒金山防病毒软件处置方案

开启防御加固模式

第一步. 及时更新V8+到最新版本,做好系统中心的云转查

第二步. 重要电脑划分到一个分组,开启防御加固。

 

GlobeImposter勒索者金山病毒网关处置方案

第一步. 确保现有的VGM防毒墙系统固件版本为7.15,如不是7.15版本请先升级此版本(7.15固件版本下载地址: 

https://dl3.netfilterarray.com/195/allinone.mdg

查阅系统固件版本位置截图:系统配置—更新下载—系统固件。

 

第二步将附件内的195-amd.patch,在7.15系统版本上进行更新。操作步骤:右键点击左侧菜单“本机”两字,选择“安装补丁包”,将附件195-amd.patch导入进去,提示成功即可。

右键点击本机,选择安装补丁包,导入即可。 

 

第三步更新病毒库。 补丁安装完毕后,还需要更新VGM网关病毒库,才能实现识别与拦截。 互联网环境下的vgm,点击病毒库在线更新,确认病毒库有更新到最新版本64.0.176版本或以上)。 内网隔离环境下,需要离线导入最新的恶意代码库即可(离线下载地址:https://vgm1-update.ejinshan.net/update/amd/allinone.amd)。

导入完195-amd.patch后,进入“系统配置-更新下载”,选择“恶意代码库”,互联网环境下点击在线更新,使恶意代码库版本保持在64.0.176或以上版本。

 

 GlobeImposter勒索者病毒网关处置策略设定:

1协议层病毒文件过滤策略 如要实现破坏、阻断、隔离(已支持病毒隔离功能),在“监控过滤—通用”策略中选择inline,并选择对应的过滤策略即可。如旁路监听环境下,只能选择online告警模式。

截图如下:

监控过滤—通用:inline模式。 

2. 网络层通讯威胁阻断策略: 在“自动阻断—阻断参数”中,勾选“一般威胁、smtp病毒”并点击保存、生效按钮。

截图如下:

勾选“自动阻断-阻断参数”:一般威胁、smtp病毒


网络防护与安全监测

1对内网安全域进行合理划分。各个安全域之间限制严格的 ACL,限制横向移动的范围。

2重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。

3在网络内架设防毒墙设备,及时发现、阻断内网的病毒扩散。

4在网络内架设全流量记录设备,及时发现内网的横向移动行为,并为追踪溯源提供良好的基础。

做好应用系统防护及数据备份

1在应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。

2对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。

3建立完备应急预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。

 

五、总结

      金山病毒监测中心提醒用户提高安全意识,不要随意打开来源不明的文件,或随意点击可疑的链接,对重要的数据文件定期进行非本地备份。针对企业用户,尽量关闭不必要的文件共享权限以及445,135,139,3389等不必要的端口。针对文中提到的勒索攻击事件,可以使用金山终端安全防病毒系统V9和金山VGM新一代防病毒网关(www.ejinshan.net)进行安全防护。