曾在2020年造成國內多家醫療機構業(yè)務(wù)癱瘓,Makop勒索病毒這次將“魔爪”伸向了自來(lái)水公司。一旦病毒層層入侵企業(yè)內網(wǎng),導致大規模停水,不止自來(lái)水公司,更包括每一個(gè)人,都攤上大事了!
前段時(shí)間,深信服終端安全團隊敏銳地發(fā)現了這起勒索未遂的攻擊事件,上一起勒索未遂事件點(diǎn)擊藍字了解:《一次云端排查讓勒索病毒當眾“伏法” | 反勒索病毒暗戰第一期》,在本次勒索事件中,攻擊者試圖通過(guò)RDP暴力破解入侵某自來(lái)水企業(yè)內網(wǎng)投放勒索病毒。但在深信服勒索病毒防護方案組成的銅墻鐵壁面前,勒索攻擊被迅速扼殺在“搖籃”中。
看到這里,你一定很好奇:深信服勒索病毒防護方案是如何用“火眼金睛”揪出病毒的?Makop勒索病毒到底有多“不講武德”?莫慌,容信服君一一道來(lái)……
1、日常排查,顯露“端倪”
前些日子,深信服終端安全專(zhuān)家君哥在全網(wǎng)進(jìn)行日常排查時(shí),用戶(hù)一臺終端檢測與響應平臺EDR的掃描日志引起了她的注意。
仔細檢查之后,果然有“貓膩”。檢出的威脅詳情如下:
為了進(jìn)一步確認該威脅文件是否為真正的勒索病毒,深信服安全專(zhuān)家又作了進(jìn)一步的驗證。
利用哈希值從外部威脅情報獲取到病毒樣本進(jìn)行本地驗證,確認為真實(shí)的勒索病毒檢出。
但需要注意的是,云端數據只上傳病毒查殺日志,包括設備ID、查殺時(shí)間、病毒文件哈希、查殺路徑,不會(huì )上傳客戶(hù)文件,未告警的正常文件也不會(huì )上傳任何信息,不會(huì )造成敏感信息泄露。
經(jīng)確認,該勒索病毒家族為Makop,加密后釋放的勒索信息如下:
2、發(fā)現威脅,立即阻斷
深信服安全專(zhuān)家排查了對應的 EDR 管理平臺日志,發(fā)現該查殺記錄來(lái)源于一臺數據傳輸服務(wù)器,經(jīng)確認該服務(wù)器對外網(wǎng)映射了 RDP 服務(wù)。
其中,靜態(tài)文件檢測和勒索行為檢測均進(jìn)行了告警,并對勒索病毒文件進(jìn)行了自動(dòng)處置:
緊接著(zhù),深信服安全專(zhuān)家又繼續查看了暴力破解日志,發(fā)現該終端一直在遭受持續的暴力破解攻擊,日志中可明顯的判斷出利用了暴力破解字典在進(jìn)行爆破:
查看深信服下一代防火墻AF日志,同樣發(fā)現了大量的持續暴力破解日志:
此時(shí),幾乎可以判定是有攻擊者利用RDP暴力破解的方式,意圖人工投放勒索病毒對該數據傳輸服務(wù)器進(jìn)行加密。
通過(guò)檢查用戶(hù)EDR管理平臺策略發(fā)現,該用戶(hù)已開(kāi)啟文件實(shí)時(shí)監控、開(kāi)啟勒索防護自動(dòng)處置、開(kāi)啟暴力破解自動(dòng)封堵、開(kāi)啟RDP登錄保護功能,但該功能只覆蓋了周一至周五,而勒索病毒檢測日志在周六,才讓勒索病毒有了可乘之機。
此外,根據EDR日志告警的勒索病毒上傳目錄,查看到該目錄下還遺留有攻擊者上次的工具痕跡,其中DefenderControl是用于關(guān)閉Windows安全策略,也是勒索病毒攻擊中常用的工具,everything則是一款正常的文件搜索工具,沒(méi)有實(shí)際威脅,而ClearLock則是一款鎖屏軟件:
通過(guò)everything排查主機上的EXE文件,未發(fā)現其他可疑文件:
但由于服務(wù)器系統安全日志都被覆蓋,無(wú)法溯源到最初的入侵IP。
所幸,由于用戶(hù)開(kāi)啟了EDR管理平臺策略,并且深信服EDR也在發(fā)現威脅時(shí)第一時(shí)間進(jìn)行了阻斷和告警,聯(lián)動(dòng)響應AF等其他安全產(chǎn)品,對整體終端安全防護進(jìn)行了升級和加固,用戶(hù)數據毫發(fā)未損。
- 敲黑板!Makop勒索病毒到底有多強?
深信服安全專(zhuān)家通過(guò)分析勒索病毒樣本信息和代碼結構,確認此次攻擊病毒為Makop勒索。就在2020年,國內已有多家醫療機構感染Makop勒索病毒,遭受服務(wù)器加密,造成業(yè)務(wù)癱瘓,影響巨大。
Makop勒索是一款具有交互功能的勒索病毒,與常見(jiàn)勒索病毒不同的是,它可以通過(guò)界面進(jìn)行交互,攻擊者在使用時(shí)可以自主對加密的方式進(jìn)行選擇,堪稱(chēng)勒索病毒發(fā)展史上的一次“進(jìn)化”。
Makop勒索把需要用到的關(guān)鍵資源都進(jìn)行了加密,在需要使用時(shí)再逐一使用Windows Crypt API進(jìn)行解密,如刪除磁盤(pán)卷影的CMD命令:
vssadmin delete shadows /all /quiet.wbadmin delete catalog -quiet.wmic shadowcopy delete.exit
解密需要結束的進(jìn)程列表,結束進(jìn)程,以解除占用,確保能夠順利地進(jìn)行數據加密:
msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;agntsrvc.exe;mydesktopqos.exe;isqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;encsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;excel.exe;infopath.exe;msaccess.exe;mspub.exe;onenote.exe;outlook.exe;powerpnt.exe;steam.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe
Makop選擇加密的文件會(huì )跳過(guò)以下文件后綴或文件名,可以看出大部分是曾經(jīng)使用過(guò)的加密后綴,還有會(huì )跳過(guò)可執行文件和釋放的勒索信息文件,以及部分系統配置文件:
CARLOS、shootlock、shootlock2、1recoesufV8Sv6g、1recocr8M4YJskJ7、btc、KJHslgjkjdfg、origami、tomas、RAGA、zbw、fireee、XXX、element、HELP、zes、lockbit、captcha、gunga、fair、SOS、Boss、moloch、BKGHJ、WKSGJ、termit、BBC、dark、id2020、arch、Raf、ryan、zxz、exe、dll、makop
boot.ini、bootfont.ini、ntldr、ntdetect.com、io.sys、readme-warning.txt、desktop.ini
同大部分的勒索病毒一樣,Makop采用的也是AES+RSA的方式進(jìn)行加密,即執行時(shí)隨機生成AES密鑰對文件進(jìn)行加密,再使用RSA公鑰對AES密鑰進(jìn)行加密,只有拿到攻擊者的RSA私鑰,才能夠進(jìn)行解密。
- 病毒來(lái)了不用慌,深信服給你支支招
針對此次勒索病毒入侵事件,深信服提出了一些實(shí)用性的建議:
- 建議關(guān)閉RDP服務(wù),不要對外網(wǎng)直接映射3389等端口,如有業(yè)務(wù)需要,建議使用EDR的微隔離對于威脅端口從策略訪(fǎng)問(wèn)控制并封堵或者使用VPN;
- 使用EDR的基線(xiàn)檢查功能,查找系統中存在的弱密碼,并及時(shí)通知相關(guān)責任人進(jìn)行修改。服務(wù)器密碼使用復雜密碼,且不要與其他主機密碼重復、不要與外部賬號密碼重復,防止泄露;并使用KeePass等密碼管理器對相關(guān)密碼進(jìn)行加密存儲,避免使用本地明文文本的方式進(jìn)行存儲;
- 系統相關(guān)用戶(hù)杜絕使用弱口令,同時(shí),應該使用高復雜強度的密碼,盡量包含大小寫(xiě)字母、數字、特殊符號等的混合密碼,加強運維人員安全意識,禁止密碼重用的情況出現,并定期對密碼進(jìn)行更改;
- 開(kāi)啟EDR的RDP暴力破解并自動(dòng)封堵功能,當出現暴力破解事件時(shí),及時(shí)檢查密碼強度,并通知相關(guān)終端的責任人及時(shí)修改相關(guān)密碼;
- 開(kāi)啟EDR的RDP二次登錄驗證功能,配置復雜密碼,多重登錄保護;
- 使用EDR進(jìn)行全網(wǎng)的漏洞掃描,發(fā)現并及時(shí)修補高危漏洞,及時(shí)打上補丁;
- 升級AF至最新版本,提高入侵防護能力;
- 定期進(jìn)行全盤(pán)掃描,建議安排安全人員定期進(jìn)行日志分析,提前規避高危風(fēng)險點(diǎn)。也可以聯(lián)系安服團隊進(jìn)行公司網(wǎng)絡(luò )安全的全面檢查。
- 科學(xué)『抗病毒』,日常預防是關(guān)鍵
就目前而言,一旦被勒索病毒攻擊幾乎無(wú)方破解,關(guān)鍵在預防,同時(shí)企業(yè)也要意識到網(wǎng)絡(luò )安全建設在當前的網(wǎng)絡(luò )攻防環(huán)境下的重要性。最后,深信服帶大家回顧下日常預防的8個(gè)『民間偏方』:
- 企業(yè)需要警惕“早晚會(huì )出事”現象;
- 企業(yè)需要警惕“節假日高峰”現象;
- Windows服務(wù)器中勒索病毒遠大于Linux服務(wù)器;
- 定期冷備份或者異地備份,關(guān)鍵時(shí)刻能“救命”;
- 大量證據表明,人是企業(yè)安全最薄弱環(huán)節(弱密碼、釣魚(yú)等),內部安全意識提升非常重要(也可以考慮零信任方案);
- 核心數據資產(chǎn)的訪(fǎng)問(wèn)控制需要重點(diǎn)加強,有條件的建議前置堡壘機等方式進(jìn)行管控;
- 企業(yè)內部任何一個(gè)漏洞或者僵尸網(wǎng)絡(luò )主機,都有可能成為入口點(diǎn),日常打補丁和殺毒是必不可少的;
- 不要迷信專(zhuān)網(wǎng)安全性,各個(gè)分支加入專(zhuān)網(wǎng)建議用防火墻等邊界控制設備進(jìn)行隔離管控。
作為國內前沿的網(wǎng)絡(luò )安全廠(chǎng)商,深信服多年來(lái)持續投入勒索防護研究,內容涵蓋黑產(chǎn)洞察、病毒研究、情報追蹤、投放分析,并沉淀出完整覆蓋突破邊界、病毒投放、加密勒索、橫向傳播等勒索攻擊鏈的系統性解決方案,目前已協(xié)助1000+各行業(yè)用戶(hù)有效構建起了勒索病毒防護最佳實(shí)踐。
