曾造成多家醫療機構癱瘓的病毒,這次勒索了你的生活用水!
曾在2020年造成國內多家醫療機構業務癱瘓,Makop勒索病毒這次將“魔爪”伸向了自來水公司。一旦病毒層層入侵企業內網,導致大規模停水,不止自來水公司,更包括每一個人,都攤上大事了!
在本次勒索事件中,攻擊者試圖通過RDP暴力破解入侵某自來水企業內網投放勒索病毒。但在深信服勒索病毒防護方案組成的銅墻鐵壁面前,勒索攻擊被迅速扼殺在“搖籃”中。
前些日子,深信服終端安全專家君哥在全網進行日常排查時,用戶一臺終端檢測與響應平臺EDR的掃描日志引起了她的注意。
仔細檢查之后,果然有“貓膩”。檢出的威脅詳情如下:
為了進一步確認該威脅文件是否為真正的勒索病毒,深信服安全專家又作了進一步的驗證。
利用哈希值從外部威脅情報獲取到病毒樣本進行本地驗證,確認為真實的勒索病毒檢出。
但需要注意的是,云端數據只上傳病毒查殺日志,包括設備ID、查殺時間、病毒文件哈希、查殺路徑,不會上傳客戶文件,未告警的正常文件也不會上傳任何信息,不會造成敏感信息泄露。
經確認,該勒索病毒家族為Makop,加密后釋放的勒索信息如下:
發現威脅,立即阻斷
深信服安全專家排查了對應的 EDR 管理平臺日志,發現該查殺記錄來源于一臺數據傳輸服務器,經確認該服務器對外網映射了 RDP 服務。
其中,靜態文件檢測和勒索行為檢測均進行了告警,并對勒索病毒文件進行了自動處置:
緊接著,深信服安全專家又繼續查看了暴力破解日志,發現該終端一直在遭受持續的暴力破解攻擊,日志中可明顯的判斷出利用了暴力破解字典在進行爆破:
查看深信服下一代防火墻AF日志,同樣發現了大量的持續暴力破解日志:
此時,幾乎可以判定是有攻擊者利用RDP暴力破解的方式,意圖人工投放勒索病毒對該數據傳輸服務器進行加密。
通過檢查用戶EDR管理平臺策略發現,該用戶已開啟文件實時監控、開啟勒索防護自動處置、開啟暴力破解自動封堵、開啟RDP登錄保護功能,但該功能只覆蓋了周一至周五,而勒索病毒檢測日志在周六,才讓勒索病毒有了可乘之機。
此外,根據EDR日志告警的勒索病毒上傳目錄,查看到該目錄下還遺留有攻擊者上次的工具痕跡,其中DefenderControl是用于關閉Windows安全策略,也是勒索病毒攻擊中常用的工具,everything則是一款正常的文件搜索工具,沒有實際威脅,而ClearLock則是一款鎖屏軟件:
通過everything排查主機上的EXE文件,未發現其他可疑文件:
但由于服務器系統安全日志都被覆蓋,無法溯源到最初的入侵IP。
所幸,由于用戶開啟了EDR管理平臺策略,并且深信服EDR也在發現威脅時第一時間進行了阻斷和告警,聯動響應AF等其他安全產品,對整體終端安全防護進行了升級和加固,用戶數據毫發未損。
敲黑板!Makop勒索病毒到底有多強?
深信服安全專家通過分析勒索病毒樣本信息和代碼結構,確認此次攻擊病毒為Makop勒索。就在2020年,國內已有多家醫療機構感染Makop勒索病毒,遭受服務器加密,造成業務癱瘓,影響巨大。
Makop勒索是一款具有交互功能的勒索病毒,與常見勒索病毒不同的是,它可以通過界面進行交互,攻擊者在使用時可以自主對加密的方式進行選擇,堪稱勒索病毒發展史上的一次“進化”。
Makop勒索把需要用到的關鍵資源都進行了加密,在需要使用時再逐一使用Windows Crypt API進行解密,如刪除磁盤卷影的CMD命令:
vssadmin delete shadows /all /quiet.wbadmin delete catalog -quiet.wmic shadowcopy delete.exit
解密需要結束的進程列表,結束進程,以解除占用,確保能夠順利地進行數據加密:
msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;agntsrvc.exe;mydesktopqos.exe;isqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;encsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;excel.exe;infopath.exe;msaccess.exe;mspub.exe;onenote.exe;outlook.exe;powerpnt.exe;steam.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe
Makop選擇加密的文件會跳過以下文件后綴或文件名,可以看出大部分是曾經使用過的加密后綴,還有會跳過可執行文件和釋放的勒索信息文件,以及部分系統配置文件:
CARLOS、shootlock、shootlock2、1recoesufV8Sv6g、1recocr8M4YJskJ7、btc、KJHslgjkjdfg、origami、tomas、RAGA、zbw、fireee、XXX、element、HELP、zes、lockbit、captcha、gunga、fair、SOS、Boss、moloch、BKGHJ、WKSGJ、termit、BBC、dark、id2020、arch、Raf、ryan、zxz、exe、dll、makop
boot.ini、bootfont.ini、ntldr、ntdetect.com、io.sys、readme-warning.txt、desktop.ini
同大部分的勒索病毒一樣,Makop采用的也是AES+RSA的方式進行加密,即執行時隨機生成AES密鑰對文件進行加密,再使用RSA公鑰對AES密鑰進行加密,只有拿到攻擊者的RSA私鑰,才能夠進行解密。
病毒來了不用慌,深信服給你支支招
針對此次勒索病毒入侵事件,深信服提出了一些實用性的建議:
- 建議關閉RDP服務,不要對外網直接映射3389等端口,如有業務需要,建議使用EDR的微隔離對于威脅端口從策略訪問控制并封堵或者使用VPN;
- 使用EDR的基線檢查功能,查找系統中存在的弱密碼,并及時通知相關責任人進行修改。服務器密碼使用復雜密碼,且不要與其他主機密碼重復、不要與外部賬號密碼重復,防止泄露;并使用KeePass等密碼管理器對相關密碼進行加密存儲,避免使用本地明文文本的方式進行存儲;
- 系統相關用戶杜絕使用弱口令,同時,應該使用高復雜強度的密碼,盡量包含大小寫字母、數字、特殊符號等的混合密碼,加強運維人員安全意識,禁止密碼重用的情況出現,并定期對密碼進行更改;
- 開啟EDR的RDP暴力破解并自動封堵功能,當出現暴力破解事件時,及時檢查密碼強度,并通知相關終端的責任人及時修改相關密碼;
- 開啟EDR的RDP二次登錄驗證功能,配置復雜密碼,多重登錄保護;
- 使用EDR進行全網的漏洞掃描,發現并及時修補高危漏洞,及時打上補丁;
- 升級AF至最新版本,提高入侵防護能力;
- 定期進行全盤掃描,建議安排安全人員定期進行日志分析,提前規避高危風險點。也可以聯系安服團隊進行公司網絡安全的全面檢查。
就目前而言,一旦被勒索病毒攻擊幾乎無方破解,關鍵在預防,同時企業也要意識到網絡安全建設在當前的網絡攻防環境下的重要性。最后,深信服帶大家回顧下日常預防的8個『民間偏方』:
SANGFOR
● 企業需要警惕“早晚會出事”現象;
● 企業需要警惕“節假日高峰”現象;
● Windows服務器中勒索病毒遠大于Linux服務器;
● 定期冷備份或者異地備份,關鍵時刻能“救命”;
● 大量證據表明,人是企業安全最薄弱環節(弱密碼、釣魚等),內部安全意識提升非常重要(也可以考慮零信任方案);
● 核心數據資產的訪問控制需要重點加強,有條件的建議前置堡壘機等方式進行管控;
● 企業內部任何一個漏洞或者僵尸網絡主機,都有可能成為入口點,日常打補丁和殺毒是必不可少的;
● 不要迷信專網安全性,各個分支加入專網建議用防火墻等邊界控制設備進行隔離管控。
