X

新聞動態

News

GandCrab病毒再出新版本,深信服全面解讀“俠盜”病毒

/ 2019-04-28


“俠盜”病毒其實指的是GandCrab勒索病毒?!皞b盜”一名的來源,是此前敘利亞某位父親遭受了GandCrab勒索,卻無力支付贖金用以解密其在戰爭中喪生的兒子照片,GandCrab作者知曉后放出了部分針對敘利亞地區的解密密鑰,還將敘利亞以及其它戰亂地區加入豁免白名單。這個故事廣泛傳播后,國內媒體對該勒索病毒冠以“俠盜”之稱。

“俠盜”病毒,看似有情,其實無情。截至目前,該病毒仍然是所有勒索家族中最活躍、危害最大的,可謂罪行累累(即使對醫療、教育等關乎民生的重要行業,照樣勒索)。

近日,GandCrab勒索家族變種GandCrab5.2持續活躍,感染面大。與此同時,深信服捕獲到了最新變種GandCrab5.3。雖然GndCrab5.3變種似乎是測試版本,可能處在開發編譯階段,尚未出現大規模感染現象。但不排除未來作者開發出成熟版的GandCrab5.3,并用于實際攻擊中,故仍然不能放松警惕,深信服也會持續追蹤此病毒最新進展。

GandCrab勒索病毒描述


GandCrab勒索病毒首次出現于2018年1月,在將近一年多的時間內,經歷了五個大版本的更新迭代。此勒索病毒的傳播感染方式多種多樣,使用的技術也不斷升級。

勒索病毒主要使用RSA密鑰加密算法,導致加密后的文件無法被解密。但在2019年2月,國外某安全公司拿到了相應的密鑰,并放出解密工具。鏈接如下:

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/?from=timeline&isappinstalled=0

一時間,GandCrab5.1及早期版本的“俠盜”病毒多數都能被解密。這極大刺激了黑客,開發出GandCrab5.2等更新版本,也就是說,GandCrab5.2及以后版本暫時不能解密。黑客團體也必然會用GandCrab5.2及更新版本去實施攻擊,對用戶造成重大安全威脅。


GandCrab勒索病毒感染面分析


GandCrab勒索病毒(含GandCrab5.2)感染過的區域,包括新疆、廣東、湖南、安徽、青海、江西、福建、浙江、山西、吉林、貴州、天津、北京、上海、河北、山東、遼寧、江蘇、四川等,基本覆蓋大半個中國,以東部沿海最為嚴重。

且GandCrab勒索病毒有十分明顯的指向性,主要攻擊醫院、政府、國企等機構,其中醫院堪稱重災區。


▲國內各行業受GandCrab勒索病毒影響的比例

醫療行業、司法行政機構、制造業受勒索威脅最大,未來仍然會持續這一趨勢,重點提醒下此類行業或者單位注意防范。不僅中國,東南亞及歐美等眾多國家,也深受“俠盜”病毒的毒害,歐洲多國警方也一直在嘗試追蹤并破壞其控制服務器。


GandCrab勒索病毒傳播方式分析


深信服安全團隊,跟蹤分析此勒索病毒將近一年多的時間內,分析其該勒索病毒主要的傳播方式如下:


▲GandCrab勒索病毒主要的傳播方式

1.RDP爆破,近期也有通過VNC爆破傳播;

2. 發送垃圾郵件,附加惡意鏈接或郵件附件,通過Word宏等加載PowerShell下載;

3. 感染相關網站,下載捆綁有惡意程序的更新程序或正常軟件;

4. 利用RigEK、GrandSoft、Fallout Exploit等漏洞利用工具包,通過無文件方式PowerShell、JS、VBS等腳本釋放加載,近期也有發現通過Weblogic漏洞、NexusRepository Manager 3遠程代碼執行漏洞(CVE-2019-7238)、WinRar漏洞等方式傳播傳播;

5. 通過惡意下載器下載勒索病毒;

6. 通過U盤感染等。

近期,深信服安全團隊接連接到多家企業反饋,在其內部員工收到可疑郵件中發現通過郵件附件傳播的GandCrab5.2。郵件內容會有不同版本。比如下圖所示,郵件發件人顯示為“National Tax Service”(譯為“國家稅務局”),郵箱地址為lijinho@cgov.us,企圖偽裝成美國政府專用的郵箱地址gov.us,郵件內容為傳訊收件人作為被告接受審訊,詳細內容在附件文檔中引導下載:


其中,所有傳播方式中最為經典使用面最廣的,也是最為簡單粗暴的,是RDP爆破。其經典傳播模型如下所示:


1.RDP爆破入侵:黑客首先RDP爆破其中一臺主機,成功獲取到該主機的控制權后,上傳黑客一整套工具,包括:進程管理工具、內網掃描工具、密碼抓取工具、暴力破解工具以及勒索病毒體。由于其中某些工具容易被殺軟查殺,因此黑客對其進行了加密壓縮處理,壓縮密碼為“123”。


2. 結束殺軟進程:上傳完工具后,黑客開始應對殺毒軟件,用進程管理工具“ProcessHacker”結束殺軟進程。

3. 內網掃描:結束殺軟進程后,黑客試圖控制更多內網主機。使用內網掃描工具“KPortScan”、“nasp”、“NetworkShare”來發現更多潛在目標。

4. 抓取密碼:同時,使用“mimikatz”抓取本機密碼,“WebBrowserPassView”抓取瀏覽器密碼。由于內網中普遍存在密碼相同的情況,因此抓到的密碼很有可能能夠直接登陸其他主機。

5. 暴力破解:使用“DUBrute”對內網主機進行RDP爆破。

6. 運行勒索病毒:HW包含了勒索病毒體HW.5.0.2.exe以及一個文本文件HW.txt,HW.txt記錄了用于無文件勒索的PowerShell命令。黑客可直接運行勒索病毒體或者執行PowerShell命令進行勒索。



GandCrab勒索病毒的演變和趨勢


深信服安全團隊一直在研究跟進此勒索病毒,通過跟蹤發現此勒索病毒從2018年1月起,在一年內主要經歷了五次大的版本變種,如下所示:


其中各大版本之間出現過小版本更新,比如V1、V2.1版本,V4.3版等,特別是V5版之后連續出現多個小版本的迭代。這些小版本的功能代碼基本類似,例如V5.0.1、V5.0.2、V5.0.3、V5.0.4、V5.0.5,以及2019年最新版本V5.1.6、V5.2、V5.3,相信未來黑客還會編譯出更多變種。

可以看到,GandCrab勒索病毒也是所有勒索家族中,版本更新迭代最快最多的家族,未來將會延續這一趨勢。并且觀察到,后期版本正不斷融合前期版本的攻擊手法,新版本的GandCrab勒索逐漸走向產業化和成熟,成為勒索家族中典型而不容小視的一股力量。

值得一提的是,在交贖金方面上,GandCrab勒索病毒也是頗有“新意”,其最新的家族變種已采用TOR站點聊天協商的方式,如下所示:


可以看到TOR勒索站點作者在右側還提供了一個聊天窗體,可以跟黑客直接進行聊天通信,以協商具體的贖金,方便快捷又保密。

但最新的GandCrab5.3又有所不同,攻擊者將暗網繳納贖金方式改為通過郵件聯系繳納贖金,應該與歐洲多國警方合作追蹤其暗網服務器有關系(服務器上有解密密鑰)。

GandCrab5.3勒索信息中增加了一個郵箱地址 jokeroo@protonmail.com,如下所示:


從追蹤GandCrab勒索家族中,可以總結和延申出如下結論和趨勢:

趨勢一:黑客炫技、惡搞、破壞已經不是主流,獲取經濟利益(暴利)成為勒索事件頻發的源動力。可以從勒索病毒熱度不減就看出。勒索一個對象,動輒十萬、幾十萬的贖金。

趨勢二:黑客入侵手段、病毒攻擊呈現多樣化趨勢。直白的講,就是利益驅動了黑產的大發展,每個黑客團體都有自己的攻擊套路,會開發各自的病毒變種,會嘗試更多更隱蔽的攻擊手段。譬如,國內外現存的勒索家族就達上百種,一個家族又可以衍生出不同的變種。

趨勢三:影響面向縱深發展,不單單是個人或者某個企業受到影響,基本上,各行各業都有被滲透的跡象。另外,黑客為了最大范圍的獲取經濟利益,提高交贖金的概率,從以往的廣撒網,已經逐步轉向定向攻擊,且多數目標集中在企業內部的重要服務器,而不是普通主機。


GandCrab勒索病毒的防御與查殺


針對已經出現GandCrab勒索病毒中招的用戶,建議盡快對感染主機進行斷網隔離。且還需在事前事中或事后積極采取如下綜合性措施:

1. 及時給所有主機打補丁,修復漏洞,升級最新病毒庫。

2. 對重要的數據文件定期進行非本地備份。

3. 更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

4. GandCrab勒索軟件會利用RDP(遠程桌面協議),如果業務上無需使用RDP,建議關閉RDP,防止擴散。

5. 不要隨意點開不明郵件,防止被釣魚攻擊。

6. 不要從網上隨意下載不明軟件,此類軟件極可能隱藏病毒。

7. 做好U盤管控,避免通過U盤進行交叉感染。

8. 定期殺毒。

最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服云網端綜合解決方案,通過安全感知平臺+下一代防火墻+終端檢測響應平臺,輔以云端安全能力中心深信安全云腦,實現對內網的全面感知、查殺和防護。



©2000-2018    深信服科技股份有限公司    版權所有     粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

一本道在线综合久久88