快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

黑客入侵加密企业所有服务器,猖狂留言勒索9.5比特币

0×1 概述

近日,腾讯御见威胁情报中心接到某公司反馈,公司里数台Windows服务器中了勒索病毒,电脑除了C盘,其他磁盘分区都被全部加密,公司营业已接近停摆。此外,该勒索病毒勒索索要的赎金高达9.5比特币(约40万人民币)。在实际攻击场景中,一次勒索云云高的金额尚属少见。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图1 桌面上被加密的文档

0×2 事故阐发

一、通过对该公司内网各个服务器阐发,发现服务器多用了弱口令,且多台服务器使用了相同的暗码,很容易被爆破攻击。各服务器上的日记显示,黑客入侵了该公司官网的Web服务器,而该公司的Web服务器与公司内网相通,进而使得黑客可以通过Web服务器进行内网渗透排泄,内网各个服务器均受到攻击。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图2 黑客入侵路径示意图

此外,在被攻击的服务器上,发现黑客存放的工具软件PCHunter,疑似是黑客用该工具结束服务器上装置的安全软件运行。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图3

在被攻击的Web服务器上发现黑客使用的内网渗透排泄工具包。其中包括:ms16-032hh.exe(内陆提权工具)、demo.exe(遥控木马),m32.exe(暗码抓取工具mimikatz),Hscan(内网扫描器)等。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图4

其中demo.exe实际上为一个自解压包,包含了下列3部分,iusb3mon.exe为白行使程序,携带了正轨白署名,iusb3mon.dll为一个挟制DLL,iusb3mon.hlp为一个外部加密文件。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图5

该攻击模块实在为PlugX Rat家族木马。PlugX 通常也被称为是 KORPLUG,SOGU,DestroyRAT,被不同的构造用于有针对性的攻击,是一个模块化的后门程序,它被设计为依赖执行署名合法的可执行文件来加载恶意代码,本次木马攻击流程以下图:

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图6

通常,PlugX 有三个首要组件,一个 DLL,一个加密的二进制代码文件以及一个合法且经过署名的可执行文件。本次攻击主模块iusb3mon.exe终极在ProgramData目录下创建WS文件夹,并把木马相干模块开释到该目录配置为体系隐躲属性运行后自删除。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图7

木马通过读取外部加密文件iusb3mon.hlp到内存,并使用自定义算法分别与0×63执行相减,异或,相加后解密出恶意代码执行。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图8

解密后的恶意代码最后创建僵尸进程“svchost.exe”使用Process Hollowing要领来将自身注入到体系进程中运行,如许做也愈加隐蔽了木马的行踪。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图9

被注入恶意代码的svchost.exe体系进程终极会通过C&C地址:sunshine5.3-a.net连接黑客,通过该后门,黑客也能完成长久的潜在控制入侵服务器。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图10

2、对加密进行阐发,发现该次勒索攻击不同于常规的传播运行勒索病毒,而是使用了正轨的磁盘加密维护软件BestCrypt Volume Encryption。BestCrypt Volume Encryption是一款专业加密软件厂商开发的磁盘维护软件,能将全部分区加密,加密后除非有加密时辰配置的口令,否则难以通过第三方去恢复解密。而在此次攻击中,黑客则行使了这款BestCrypt加密软件对服务器上的磁盘进行了加密。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图11

使用BestCrypt来加密,能降低黑客本人的开发成本。部分勒索病毒存在漏洞为解密文件提供了可能,而行使成熟的商业软件来加密使得解密难度变得更大;此外,行使正轨软件也更方便逃避安全软件查杀。

三、黑客在服务器桌面上留下多份勒索信息,查看后发现勒索的赎金达9.5个比特币(约人民币40万元),一般勒索病毒损坏后索要的赎金多数是1-2个比特币,网络黑客,在实际攻击场景中一次勒索云云高额赎金的还尚属少见。

该黑客公然在留言中对受害企业进行巧取豪夺,用词极为猖狂。譬如

“我们并不是自动传播的勒索病毒,而是专程针对企业定向攻击的专业黑客构造。”

“2-3天内未归复我们将采取攻击损坏手段,损坏比加密容易的多……”

还举例本人干过更猖狂的损坏步履:

“某企业被加密后3天没有归复,我们(指黑客构造)删除了该企业捏造机宿主机服务器中近100台捏造服务器,公司陷入瘫痪丧失巨大……”等等。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图12

查看该黑客收款的比特币钱包,发现暂未收到任何赎金。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图13

此外,该黑客为了证实本人是个“良心”贩子,在勒索信息中花了大批篇幅证实支付赎金以后可以成功解密,并且还会提供调试数据库以及代码错误的附加服务。

黑客入侵加密企业所有服务器 猖狂留言勒索9.5比特币

图14

0×3 安全建议

从全部攻击过程可以看到,黑客起首入侵Web服务器,进而进行内网渗透排泄,行使弱口令漏洞逐一攻陷内网多台服务器,在体系存在严重案例漏洞的情形下,即使服务器上已装置安全软件也会被黑客轻易关闭。

针对该类勒索攻击,腾讯御见威胁情报中心给出以下安全建议:

一、关闭服务器无须要的端口

2、切勿使用弱暗码,并且各服务器不要使用同一个暗码

三、将内外网隔离,对外服务器绝量与内网隔离,防止对外服务器被入侵后,黑客能进一步渗透排泄内网

四、重要数据、体系、机器只允许授权的ip地址走访

五、及时修复高危漏洞

六、定期备份重要数据

七、部署腾讯云网站管家WAF(https://s.tencent.com/product/wzgj/index.html)。

腾讯云网站管家 WAF(Web Application Firewall)通过 Web 入侵防护、0Day 漏洞补丁修复、恶意走访责罚、云备份防篡改等多维度防御策略周全防护网站的体系及营业安全,是一款专业为网站服务的一站式智能防护平台。

IOC

C2:

sunshine5.3-a.net

1.199.31.208

91.247.38.61

MD5:

9e076d918a023160180523c634300b1f

d1b7f4594003556d620dfb536549dc92

05fad2e77c6c03b2ca2597af9ee63dd4

05fad2e77c6c03b2ca2597af9ee63dd4

717214f646d30da16d7c07eaf11c101d

参考资料

《Windows 服务器安全加固方案》——https://s.tencent.com/research/report/435.html

《Windows小我私人机器加固方案》   —— https://s.tencent.com/research/report/433.html

*

您可能还会对下面的文章感兴趣: