首页
社区
课程
招聘
[原创]黑客入侵加密企业所有服务器 嚣张留言勒索9.5比特币
发表于: 2018-4-16 17:55 3251

[原创]黑客入侵加密企业所有服务器 嚣张留言勒索9.5比特币

2018-4-16 17:55
3251

概述

近日,腾讯御见威胁情报中心接到某公司反馈,公司里数台Windows服务器中了勒索病毒,电脑除了C盘,其他磁盘分区都被整个加密,公司业务已接近停摆。此外,该勒索病毒勒索索要的赎金高达9.5比特币(约40万人民币)。在实际攻击场景中,一次勒索如此高的金额尚属少见。


图1 桌面上被加密的文档

事件分析

1、通过对该公司内网各个服务器分析,发现服务器多用了弱口令,且多台服务器使用了相同的密码,很容易被爆破攻击。各服务器上的日志显示,黑客先入侵了该公司官网的Web服务器,而该公司的Web服务器与公司内网相通,进而使得黑客可以通过Web服务器进行内网渗透,内网各个服务器均受到攻击。


图2 黑客入侵路径示意图

此外,在被攻击的服务器上,发现黑客存放的工具软件PCHunter,疑似是黑客用该工具结束服务器上安装的安全软件运行。


图3

在被攻击的Web服务器上发现黑客使用的内网渗透工具包。其中包括:ms16-032hh.exe(本地提权工具)、demo.exe(远控木马),m32.exe(密码抓取工具mimikatz),Hscan(内网扫描器)等。


图4

其中demo.exe实际上为一个自解压包,包含了以下3部分,iusb3mon.exe为白利用程序,携带了正规白签名,iusb3mon.dll为一个劫持DLL,iusb3mon.hlp为一个外部加密文件。


图5

该攻击模块其实为PlugX Rat家族木马。PlugX 通常也被称为是KORPLUG,SOGU,DestroyRAT,被不同的组织用于有针对性的攻击,是一个模块化的后门程序,它被设计为依靠执行签名合法的可执行文件来加载恶意代码,本次木马攻击流程如下图:


图6

通常,PlugX 有三个主要组件,一个DLL,一个加密的二进制代码文件和一个合法且经过签名的可执行文件。本次攻击主模块iusb3mon.exe最终在ProgramData目录下创建WS文件夹,并把木马相关模块释放到该目录设置为系统隐藏属性运行后自删除。


图7

木马通过读取外部加密文件iusb3mon.hlp到内存,并使用自定义算法分别与0x63执行相减,异或,相加后解密出恶意代码执行。


图8

解密后的恶意代码最后创建僵尸进程“svchost.exe”使用Process Hollowing方法来将自身注入到系统进程中运行,这样做也更加隐蔽了木马的行踪。


图9

被注入恶意代码的svchost.exe系统进程最终会通过C&C地址:sunshine5.3-a.net连接黑客,通过该后门,黑客也能实现长久的潜伏控制入侵服务器。


图10

2、对加密进行分析,发现该次勒索攻击不同于常规的传播运行勒索病毒,而是使用了正规的磁盘加密保护软件BestCrypt Volume Encryption。BestCrypt Volume Encryption是一款专业加密软件厂商开发的磁盘保护软件,能将整个分区加密,加密后除非有加密时候设置的口令,否则难以通过第三方去恢复解密。而在此次攻击中,黑客则利用了这款BestCrypt加密软件对服务器上的磁盘进行了加密。


图11

使用BestCrypt来加密,能降低黑客自己的开发成本。部分勒索病毒存在漏洞为解密文件提供了可能,而利用成熟的商业软件来加密使得解密难度变得更大;此外,利用正规软件也更方便逃避安全软件查杀。

3、黑客在服务器桌面上留下多份勒索信息,查看后发现勒索的赎金达9.5个比特币(约人民币40万元),一般勒索病毒破坏后索要的赎金多数是1-2个比特币,在实际攻击场景中一次勒索如此高额赎金的还尚属少见。

该黑客公然在留言中对受害企业进行敲诈勒索,用词极为嚣张。比如

“我们并不是自动传播的勒索病毒,而是专门针对企业定向攻击的专业黑客组织。”

“2-3天内未回复我们将采取攻击破坏手段,破坏比加密容易的多……”

还举例自己干过更嚣张的破坏行动:

“某企业被加密后3天没有回复,我们(指黑客组织)删除了该企业虚拟机宿主机服务器中近100台虚拟服务器,公司陷入瘫痪损失巨大……”等等。


图12

查看该黑客收款的比特币钱包,发现暂未收到任何赎金。


图13

此外,该黑客为了证明自己是个“良心”商人,在勒索信息中花了大量篇幅证明支付赎金之后可以成功解密,并且还会提供调试数据库和代码错误的附加服务。


图14

安全建议

从整个攻击过程可以看到,黑客首先入侵Web服务器,进而进行内网渗透,利用弱口令漏洞逐个攻陷内网多台服务器,在系统存在严重案例漏洞的情况下,即使服务器上已安装安全软件也会被黑客轻易关闭。

针对该类勒索攻击,腾讯御见威胁情报中心给出如下安全建议:

1、关闭服务器不必要的端口

2、切勿使用弱密码,并且各服务器不要使用同一个密码

3、将内外网隔离,对外服务器尽量与内网隔离,防止对外服务器被入侵后,黑客能进一步渗透内网

4、重要数据、系统、机器只允许授权的ip地址访问

5、及时修复高危漏洞

6、定期备份重要数据

7、部署腾讯云网站管家WAF(https://s.tencent.com/product/wzgj/index.html)

腾讯云网站管家WAF(Web Application Firewall)通过Web 入侵防护、0Day 漏洞补丁修复、恶意访问惩罚、云备份防篡改等多维度防御策略全面防护网站的系统及业务安全,是一款专业为网站服务的一站式智能防护平台。

8、部署御界高级威胁检测系统(https://s.tencent.com/product/gjwxjc/index.html)可有效的拦截此类攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。凭借基于行为的防护和智能模型两大核心能力,御界高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。


IOC

C2:

   sunshine5.3-a.net

        1.199.31.208

91.247.38.61

MD5:

        9e076d918a023160180523c634300b1f

        d1b7f4594003556d620dfb536549dc92

        05fad2e77c6c03b2ca2597af9ee63dd4

        05fad2e77c6c03b2ca2597af9ee63dd4

        717214f646d30da16d7c07eaf11c101d

参考资料

《Windows 服务器安全加固方案》——https://s.tencent.com/research/report/435.html
《Windows个人机器加固方案》   —— https://s.tencent.com/research/report/433.html


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2018-4-16 18:28 被腾讯电脑管家编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 58
活跃值: (1135)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
广告贴
2018-4-16 19:08
0
雪    币: 89
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
yangya 广告贴
我去,你不说我都差点信了这篇文章
2018-4-16 19:44
0
雪    币: 58
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
40万,真贪.如果我是企业主,一分钱也不会给.真当现在的钱不值钱?
2018-4-17 11:31
0
雪    币: 3848
活跃值: (642)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
zaimongli 40万,真贪.如果我是企业主,一分钱也不会给.真当现在的钱不值钱?
那要看你的数据值多少钱
2018-4-17 11:32
0
雪    币: 58
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
损失了点产品源码,再开发更好的新版本就好了,github上什么没有?
2018-4-17 11:32
0
雪    币: 58
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
我觉得要围剿这些黑客玩意,遇到任何需要付钱的,一分钱也不给,就得要饿死这些逗逼玩意.
付钱只会助涨更多的黑客.
2018-4-17 11:44
0
游客
登录 | 注册 方可回帖
返回
//