-
-
[原创]GandCrab勒索病毒家族开始借助钓鱼邮件附加DOC文档传播
-
发表于: 2019-1-11 11:12 2346
-
GandCrab勒索病毒家族开始借助钓鱼邮件附加DOC文档传播
一、概述
近日,腾讯御见威胁情报中心监控到GandCrab勒索家族使用钓鱼邮件攻击的案例,攻击者通过邮件内附带doc文档的方式,诱导受害者打开文档,一旦文档被打开,开启宏代码的条件下则会执行恶意代码,进而下载GandCrab v5.0.4勒索病毒执行。
GandCrab勒索病毒是2018年非常活跃的勒索病毒家族,御见威胁情报中心曾经多次发布预警。该病毒家族自2018年9月起增加了蠕虫式的传播渠道:通过感染U盘、感染压缩文件、感染Web目录,以及弱口令端口爆破等方式在局域网内主动扩散传播,蠕虫式的传播导致该病毒在一段时间内感染量激增。
现在,该病毒家族再次增加通过钓鱼邮件欺骗附带Word文档执行恶意宏代码的攻击方式,将促进该病毒进一步扩散,御见威胁情报中心再次提醒各政企机构严加防范。
图1
二、宏文档传播的勒索病毒
恶意文档名为rechnungen.doc,其实际内容为空,攻击者通过钓鱼邮件发起鱼叉式攻击的方式,诱导受害者下载附件,打开文档。如果收到邮件的人按提示启用恶意宏代码,将导致更加严重的后果。
恶意宏代码执行后,会从URL(hxxp://karbonkoko.com/rundll.exe)处下载恶意文件,该文件为GandCrab 5.0.4勒索病毒。
图2
包含恶意宏代码的doc文档,文档名为rechnungen.doc
图3
查看混淆的恶意宏代码可知该doc文档为DownLoader木马
图4
执行后的恶意宏代码会Get请求获取hxxp://karbonkoko.com/rundll.exe文件
图5
最终将下载到的rundll.exe文件在Public目录名下以yezjqhfmwjxi.exe 执行
图6
yezjqhfmwjxi.exe本质为外壳装载器,通过在内存中解密执行真正的恶意payload
图7
查看payload文件入口为标准的GandCrab病毒花指令混淆
图8
传播病毒为GandCrab病毒版本5.0.4
图9
病毒感染成功后加密文件添加yledlyjaat随机扩展后缀
GandCrab勒索病毒是2018年以来最为活跃的勒索病毒之一,该病毒在短短一年时间内历经5次大版本更新,目前5.0大版本病毒加密用户文件后会添加随机5-10扩展后缀,同时修改用户桌面。国内目前感染的该病毒最新版本为5.1.6,但目前国内感染量最多,最为活跃的病毒依旧为5.0.4版本。
图10
GandCrab最新5.1.6加密完成版本
三、内网攻击扩散机制
GandCrab在国内通过弱口令爆破传播感染也十分流行,腾讯安全应急响应中心在多次实地检查真实攻击案例后,发现部分企业存在局域网内多台机器使用同一弱口令的问题,这些管理漏洞导致企业内网大面积感染勒索病毒,业务系统被攻击瘫痪的案例时有发生。
通过采集勒索现场攻击者留下的相关工具,可还原勒索病毒攻击真实场景,以下为某公司中勒索病毒后现场提取到的攻击者使用工具Project 2.0。
图11
攻击者首先通过入侵控制一台企业内对外服务的机器,然后在该机器上传作案工具。该工具为Delphi 7编写的攻击套件管理集,可以一键结束非系统的无关进程,一键下载执行内网攻击使用到的多个组件。
图12
通过观察该工具组件,我们推测入侵者的攻击流程如下:
1、攻击者首先使用processhacker与ARK工具gmer尝试与机器内的安全软件做对抗,尝试突破安全软件防护,使安全软件的保护功能失效。
图13
2、运行执行命令,激活当前用户,关闭防火墙,删除卷影信息等,删除卷影信息为防止勒索病毒加密后的原始文件被找回。
图14
3、使用mimikatz获取当前主机信息,主要目的为拿到当前机器登录密码,管理工具同时集成了mimikatz x32和x64两个不同软件版本。
图15
4、使用Advanced_IP_Scanner或NS(NetWorkShare)扫描工具扫描局域网中其它活跃机器。
图16
5、使用前期准备工作拿到的口令,尝试以弱口登录局域网内更多机器,一但企业内多台服务器使用统一弱密码,则会被攻击者进一步攻击成功进而运行勒索病毒,从而导致企业内网多台机器染毒中招。
图17
6、登录成功其它同样采用弱口令的机器后,运行payload实施勒索病毒攻击。作案完毕再执行一键关闭自删除功能毁尸灭迹。
四、安全建议
企业用户:
1、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、 对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止Office启用宏代码。
7、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
图18
个人用户:
1、 启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码
2、 打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
IOCs
MD5:
444749249e358f3c67d0abc468b8349c
acb2a86049680d7e4b95bf501b9b11cc
URL:
hxxp://karbonkoko.com/rundll.exe
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)