![]()
早前,我们从赎金角度探讨了下勒索病毒的发展演变,详细参考从赎金角度看勒索病毒演变。加密数字货币和Tor网络对勒索病毒的基础性支撑不再赘述,今天,我们回归技术,从另外一个角度,看勒索病毒为何会如此猖獗。为了很好的回答这个问题,我们同样不急于切入主题。首先,深信服安全团队基于大量真实的客户案例及大量的威胁情报信息,来盘点近几年勒索病毒使用过的工具和漏洞。本质上来讲,工具是无害的,取决于使用的人,就像一把菜刀,可以用来切菜,也可以用来砍人,不过话又说回来,在特定场景和环境,我们又不得不对这些工具进行限制,同样以菜刀为例,菜刀在国内地铁环境下,即密集人流环境下,多数情况下是不允许被携带的,原因相信大家都懂的。其实,对网络安全、攻防对抗来讲,工具也是承担类似的角色,黑产团队可以用这些工具,安全团队也可以用这些工具,至于利弊来讲,是取决于使用者的最终目的的。以开源工具Process Hacker为例,安全团队可以用这个工具进行应急响应、恶意进程分析、病毒查杀;而黑产团队可以用这个工具对安全软件进行卸载,对系统或应用级保护机制进行破坏。对从事勒索病毒活动的攻击者来讲,同样存在上述现象,攻击者可以使用大量的工具进行攻击活动。深信服安全团队处理过大量的勒索病毒案例,从攻击现场,捕获了大量的工具,这些工具都是攻击者所使用的。当然,这些工具本身也可以被用于正常用途。Process Hacker是一款针对高级用户的安全分析工具,它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外,它还可以检测恶意进程,并告知我们这些恶意进程想要实现的功能。Process Hacker是一个开源项目,Process Hacker跟ProcessExplorer十分相似,但是Process Hacker提供了更多的功能以及选项。而且由于它是完全开源的,所以我们还可以根据自己的需要来自定义其他功能。就是这样一款工具,安全人员和黑客,均可以拿来使用,至于是用来应急响应和查杀病毒,还是用来破坏系统或应用,就取决于使用者。我们在大量的勒索病毒攻击中,发现很多中勒索病毒的主机,黑客都会上传一份ProcessHacker,在执行勒索病毒前,先把本地保护机制破坏掉,防止加密过程被中断。PCHunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。不过,深信服安全团队发现,在勒索病毒攻击活动中,黑客也有可能使用这个工具,原因仍然是想在执行勒索病毒前,先把本地保护机制破坏掉,防止加密过程被中断。有意思的是,这个工具是国人开发的,也就是工具本身是中文版的,外国人懂的概率比较低(难不成攻击前得先学中文?)。这里也是提醒大家,黑产团队并不局限一个地区的,像勒索病毒这块“巨大的蛋糕”,国内黑产或华人黑产社区,很难想象不会参与其中。当然,境外人士对国内的勒索攻击行为相信是占大头的,毕竟他们可以肆无忌惮的攻击政府、医疗等等敏感或公益行业。神器Mimikatz是法国人Genti Kiwi编写的一款windows平台下的工具,它开发了很多功能,最令人熟知的功能是直接从lsass.exe进程里获取Windows处于激活状态账号的明文密码。也正是因为此功能,常常被黑客所使用,用于提取被入侵主机更多的账号密码,在勒索攻击中非常常见。PsExec 是一个轻型的 telnet 替代工具,它使你无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。这是一款微软官方网站可以下载的工具,有数字签名,属于“根正苗红”类型的,很少有杀毒软件会将这个软件当作病毒的,因为本身它也有正常的用途的。不过,或许正是因为此(杀软不敢“动它”),黑客在勒索攻击中,也时常会使用这个工具,进行远程病毒执行和内网扩散。网络共享扫描工具,用于发现网络共享资源的,至于用来做什么,看你的目的了。当然,我们确实在不少的勒索病毒攻击中,发现了这个工具。DUBrute是一款强大的远程桌面(3389)密码破解软件,你可以用本附件的扫描功能来自动扫描活跃IP地址,扫描完成后设置好用户名与需要猜解的密码就可以开始全自动工作了。一款爆破工具,跟DUBrute比较类似,不同黑产团队可能使用不同的爆破工具,或者基于某种考虑,会轮换使用相同类型的不同工具。WebBrowserPassView是一款功能强大的网页密码查看工具。该款工具会自动找出你在浏览器里面保存过的的帐号和对应的密码并显示出来,只要启动它,经过几秒钟之后,就会看到画面上出现你的浏览器所记忆的网址、帐号及密码了!目前一共支持了IE1~IE9、Firefox、Chrome及Opera等四种主流浏览器。Mimikatz作为一款神器,已广为人知,杀毒软件已将此软件视为“病毒”和“黑客工具”。为了逃避检测和加强绕过,Lazykatz是Mimikatz的升级版本。PowerTool 一款免费强大的进程管理器,支持进程强制结束,可以Unlock占用文件的进程,查看文件/文件夹被占用的情况,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。最新版还支持上传文件在线扫描病毒。支持离线的启动项和服务的检测和删除,新增注册表和服务的强删功能,可在PE系统下清除感染MBR的病毒(如鬼影等)。Masscan是为了尽可能快地扫描整个互联网而创建的,根据其作者robert graham,这可以在不到6分钟内完成,每秒大约1000万个数据包。AnyDesk是一款免费远程连接/远程桌面控制软件,在一些勒索病毒攻击活动中,我们发现还是有些黑客为了方便,会预留一个远程软件,方便其登录控制。Defender Control是一款实用的Windows Defender控制工具,这款工具的主要作用就是可以对Windows Defender进行开启和关闭操作。RDP连接工具,勒索病毒攻击活动中,RDP弱密码作为一个很严重的问题,经常会被利用。Network Password Recovery(系统管理员密码查看器)是一款功能强大的系统管理员密码密码找回软件,如果忘记了电脑系统管理员密码时,通过这款软件既可以帮助你轻松找回,让你能够继续使用电脑。有趣的是,如果你是管理员,找回密码是一种正常行为,但如果你是勒索病毒的攻击者,“找回密码”肯定动机就不单纯了,而我们在大量案例中,也确实发现了这个工具的使用痕迹。Gmer是一款来自波兰的多功能安全监控分析应用软件。它能查看隐藏的进程服务,驱动, 还能检查Rootkit,启动项,并且具有内置命令行和注册表编辑器 ,Gmer具有强大监控功能。Gmer还具备自己系统安全模式,清理顽固木马病毒很得心应手!同样的,我们也在勒索病毒攻击中,发现了这个工具的使用痕迹。也就是说,工具只要好用,易上手,基本上就会有很多人去用。漏洞在勒索病毒攻击中,同样扮演了一个重要角色。由于操作系统和应用软件的数量、版本众多,这些系统、软件和程序,或多或少都存在各种各样的漏洞,也正是由于这些漏洞的存在,使攻击行为变得更加快速和高效。以下漏洞,是深信服安全团队跟踪和发现的,在近几年被勒索病毒攻击所使用的漏洞。2017年5月12日WannaCry勒索病毒在全球爆发,勒索病毒利用MS17-010永恒之蓝漏洞进行传播感染。短时间内感染全球30w+用户,包括学校、医疗、政府等各个领域。Confluence漏洞(CVE-2019-3396)Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。2019年4月份,深信服安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵服务器,上传Downloader脚本文件,连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联,该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。此外,深信服安全团队,也关注到了国外厂商也发生类似的入侵事故。华盟君今天推荐的这篇文章意在让大家在上网和工作中提高警惕,擦亮眼睛,减少损失。如果不小心中招一定不要胡乱操作,保存备份文件,及时联系专业技术团队结局问题,如果有需要的可以联系华盟君帮你解决。![]( "微信公众号文章素材之分割线大全")
![]()
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650458036&idx=1&sn=05e0c6f8f0b67728faed6696ea343fa0&chksm=83bba250b4cc2b46bcaca23ebb59d3a44f9421002d9770a75bf7fae902ef9e031ce6b095f664#rd
如有侵权请联系:admin#unsafe.sh