2022年最受关注的勒索事件无疑是针对北美洲哥斯达黎加政府的攻击,勒索软件团伙Conti向哥斯达黎加政府发出威胁,要求支付2000万美元赎金,否则要“推翻”该国政府,这是一个国家首次宣布进入“国家紧急状态”以应对勒索软件攻击。相关数据显示,从4月中旬到5月初,27个哥斯达黎加的政府机构成为第一波勒索攻击活动的目标。国家财政部数TB数据和800多台服务器受到影响,数字税务服务和海关控制IT系统瘫痪,极大影响了政府的正常运作。同样,发生在中国国内的勒索事件也层出不穷。
2022年12月某日,华为安全团队在接到某客户勒索应急响应求助后,当日第一时间到达客户现场,经分析,发现恶意样本为fast.exe勒索病毒,属于Phobos家族,通过日志综合分析,快速还原了整个入侵过程。此次攻击导致失陷主机数量约为30台,每台要求支付赎金7K美元。(揭秘勒索第2期丨你真的离勒索攻击很远吗?)分析过Phobos是2022年国内TOP4热点勒索软件家族,该病毒是2016年出现的著名CrySiS/Dharma勒索软件家族的变种之一,主要攻击医疗、高校、制造业等行业。
① 此次勒索事件攻击入口是该集团违规开放到公网的某服务器1433端口(SQLServer服务),且数据库登录使用弱口令,攻击者以此为边界突破口对目标服务器进行暴力破解。
MSSQL暴力破解登录成功
② 攻击者登录到SQLServer后,进一步通过xp_cmdshell获取系统权限,攻击成功后投递勒索病毒。在用户xx文件夹下创建攻击目录,并上传病毒文件。
MSSQL xplog70.dll用于调用xp_cmdshell
③ 此次攻击主要投放的勒索工具为:
ns-v2.exe MD5值逆向分析结果
(用于进行网络扫描并共享文件目录)
dControl.exe MD5值逆向分析结果
(用于关闭Windows Defender)
④ 勒索病毒会通过SMB协议扫描、服务器RDP登录口令爆破进行横向移动,并感染所有共享文件夹和挂载的U盘。
通过SMB协议进行横向扩散
经过3小时分析,华为安全团队快速找到攻击入口,成功溯源并还原攻击过程,向客户CIO、技术负责人详细介绍了整个攻击过程,提出后续安全加固建议。同时参与该事件溯源分析还有另外2个安全厂商,客户重点对华为安全团队应急响应服务的专业与高效提出表扬。
一、短期安全加固建议:
● 将集团文件共享服务器暂时设定为可读,并对关键资产数据进行备份;
● 梳理通信矩阵,细化所有防火墙安全访问策略,关闭不需要开放的端口,收缩对外暴露面;
● 所有USG防火墙新增IPS和AV授权,检测勒索病毒常见漏洞利用攻击,识别和阻断流量中的勒索病毒软件,并替换现网CISCO老旧防火墙。
● 办公PC安装华为乾坤EDR客户端(约300台),与华为乾坤云联动。华为乾坤EDR集成下一代AV引擎,可实时扫描发现勒索攻击早期木马、提权等恶意程序投递;同时,基于内核级文件写入、运行阻断查杀技术,在勒索加密载荷落盘或运行前高速扫描,确保勒索软件不运行下的高检出和高查杀率。
华为防火墙可检测此次勒索病毒数据库登录爆破行为(复现该病毒行为截图):
华为乾坤EDR部署上线后支持基于静态指纹、行为等进行检测和查杀:
全盘查杀,可发现fast.exe等关键病毒样本
主动实时防护,病毒文件落盘即被自动隔离(复现截图)
病毒文件落盘后,将病毒样本加白再运行,
乾坤EDR检出并成功阻断(即基于行为检测)
二、长期安全加固建议:
● 将分散的资产集中管理,划分安全管理区,部署HiSec Insight态势感知 、FireHunter沙箱,与现网USG防火墙联动,协同防御。华为HiSec Insight集成20多种AI检测算法,含加密流量检测,可覆盖勒索攻击RDP暴力破解、Web渗透、可疑Webshell行为等入口突破,以及早期恶意载荷投递、可疑C2回连、横向移动、数据回传等多个攻击阶段,一旦发现威胁,可联动USG防火墙自动闭环处置。
● 重点针对研发和财务部终端,部署终端数据防泄露模块,保障文档使用安全。
● 集团PC全部部署华为乾坤EDR客户端,通过云、网、端各类安全产品协同联动,构建针对勒索病毒文件的立体防护体系。
勒索攻击关键在于防,勒索多采用非对称加密算法,直接解密基本不可能,中招后数据难以恢复。此次某医疗集团勒索攻击事件发生后,第一时间将失陷主机断网,暂停共享文件服务,华为安全团队快速找到攻击入口后,及时关闭不需要对外开放的端口,最大程度协助客户止损,避免勒索病毒扩散到其他重要服务器或分公司,并针对现网防护薄弱、弱口令等问题进行梳理和整改,给出后续长期加固建议。
原文始发于微信公众号(华为安全):未然公告丨某医疗集团勒索病毒入侵事件应急响应回顾
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论