曾在2020年造成国内多家医疗机构业务瘫痪,Makop勒索病毒这次将“魔爪”伸向了自来水公司。一旦病毒层层入侵企业内网,导致大规模停水,不止自来水公司,更包括每一个人,都摊上大事了!
前段时间,深信服终端安全团队敏锐地发现了这起勒索未遂的攻击事件,上一起勒索未遂事件点击蓝字了解:《一次云端排查让勒索病毒当众“伏法” | 反勒索病毒暗战第一期》,在本次勒索事件中,攻击者试图通过RDP暴力破解入侵某自来水企业内网投放勒索病毒。但在深信服勒索病毒防护方案组成的铜墙铁壁面前,勒索攻击被迅速扼杀在“摇篮”中。
看到这里,你一定很好奇:深信服勒索病毒防护方案是如何用“火眼金睛”揪出病毒的?Makop勒索病毒到底有多“不讲武德”?莫慌,容信服君一一道来……
1、日常排查,显露“端倪”
前些日子,深信服终端安全专家君哥在全网进行日常排查时,用户一台终端检测与响应平台EDR的扫描日志引起了她的注意。
仔细检查之后,果然有“猫腻”。检出的威胁详情如下:
为了进一步确认该威胁文件是否为真正的勒索病毒,深信服安全专家又作了进一步的验证。
利用哈希值从外部威胁情报获取到病毒样本进行本地验证,确认为真实的勒索病毒检出。
但需要注意的是,云端数据只上传病毒查杀日志,包括设备ID、查杀时间、病毒文件哈希、查杀路径,不会上传客户文件,未告警的正常文件也不会上传任何信息,不会造成敏感信息泄露。
经确认,该勒索病毒家族为Makop,加密后释放的勒索信息如下:
2、发现威胁,立即阻断
深信服安全专家排查了对应的 EDR 管理平台日志,发现该查杀记录来源于一台数据传输服务器,经确认该服务器对外网映射了 RDP 服务。
其中,静态文件检测和勒索行为检测均进行了告警,并对勒索病毒文件进行了自动处置:
紧接着,深信服安全专家又继续查看了暴力破解日志,发现该终端一直在遭受持续的暴力破解攻击,日志中可明显的判断出利用了暴力破解字典在进行爆破:
查看深信服下一代防火墙AF日志,同样发现了大量的持续暴力破解日志:
此时,几乎可以判定是有攻击者利用RDP暴力破解的方式,意图人工投放勒索病毒对该数据传输服务器进行加密。
通过检查用户EDR管理平台策略发现,该用户已开启文件实时监控、开启勒索防护自动处置、开启暴力破解自动封堵、开启RDP登录保护功能,但该功能只覆盖了周一至周五,而勒索病毒检测日志在周六,才让勒索病毒有了可乘之机。
此外,根据EDR日志告警的勒索病毒上传目录,查看到该目录下还遗留有攻击者上次的工具痕迹,其中DefenderControl是用于关闭Windows安全策略,也是勒索病毒攻击中常用的工具,everything则是一款正常的文件搜索工具,没有实际威胁,而ClearLock则是一款锁屏软件:
通过everything排查主机上的EXE文件,未发现其他可疑文件:
但由于服务器系统安全日志都被覆盖,无法溯源到最初的入侵IP。
所幸,由于用户开启了EDR管理平台策略,并且深信服EDR也在发现威胁时第一时间进行了阻断和告警,联动响应AF等其他安全产品,对整体终端安全防护进行了升级和加固,用户数据毫发未损。
- 敲黑板!Makop勒索病毒到底有多强?
深信服安全专家通过分析勒索病毒样本信息和代码结构,确认此次攻击病毒为Makop勒索。就在2020年,国内已有多家医疗机构感染Makop勒索病毒,遭受服务器加密,造成业务瘫痪,影响巨大。
Makop勒索是一款具有交互功能的勒索病毒,与常见勒索病毒不同的是,它可以通过界面进行交互,攻击者在使用时可以自主对加密的方式进行选择,堪称勒索病毒发展史上的一次“进化”。
Makop勒索把需要用到的关键资源都进行了加密,在需要使用时再逐一使用Windows Crypt API进行解密,如删除磁盘卷影的CMD命令:
vssadmin delete shadows /all /quiet.wbadmin delete catalog -quiet.wmic shadowcopy delete.exit
解密需要结束的进程列表,结束进程,以解除占用,确保能够顺利地进行数据加密:
msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;agntsrvc.exe;mydesktopqos.exe;isqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;encsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;excel.exe;infopath.exe;msaccess.exe;mspub.exe;onenote.exe;outlook.exe;powerpnt.exe;steam.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe
Makop选择加密的文件会跳过以下文件后缀或文件名,可以看出大部分是曾经使用过的加密后缀,还有会跳过可执行文件和释放的勒索信息文件,以及部分系统配置文件:
CARLOS、shootlock、shootlock2、1recoesufV8Sv6g、1recocr8M4YJskJ7、btc、KJHslgjkjdfg、origami、tomas、RAGA、zbw、fireee、XXX、element、HELP、zes、lockbit、captcha、gunga、fair、SOS、Boss、moloch、BKGHJ、WKSGJ、termit、BBC、dark、id2020、arch、Raf、ryan、zxz、exe、dll、makop
boot.ini、bootfont.ini、ntldr、ntdetect.com、io.sys、readme-warning.txt、desktop.ini
同大部分的勒索病毒一样,Makop采用的也是AES+RSA的方式进行加密,即执行时随机生成AES密钥对文件进行加密,再使用RSA公钥对AES密钥进行加密,只有拿到攻击者的RSA私钥,才能够进行解密。
- 病毒来了不用慌,深信服给你支支招
针对此次勒索病毒入侵事件,深信服提出了一些实用性的建议:
- 建议关闭RDP服务,不要对外网直接映射3389等端口,如有业务需要,建议使用EDR的微隔离对于威胁端口从策略访问控制并封堵或者使用VPN;
- 使用EDR的基线检查功能,查找系统中存在的弱密码,并及时通知相关责任人进行修改。服务器密码使用复杂密码,且不要与其他主机密码重复、不要与外部账号密码重复,防止泄露;并使用KeePass等密码管理器对相关密码进行加密存储,避免使用本地明文文本的方式进行存储;
- 系统相关用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强运维人员安全意识,禁止密码重用的情况出现,并定期对密码进行更改;
- 开启EDR的RDP暴力破解并自动封堵功能,当出现暴力破解事件时,及时检查密码强度,并通知相关终端的责任人及时修改相关密码;
- 开启EDR的RDP二次登录验证功能,配置复杂密码,多重登录保护;
- 使用EDR进行全网的漏洞扫描,发现并及时修补高危漏洞,及时打上补丁;
- 升级AF至最新版本,提高入侵防护能力;
- 定期进行全盘扫描,建议安排安全人员定期进行日志分析,提前规避高危风险点。也可以联系安服团队进行公司网络安全的全面检查。
- 科学『抗病毒』,日常预防是关键
就目前而言,一旦被勒索病毒攻击几乎无方破解,关键在预防,同时企业也要意识到网络安全建设在当前的网络攻防环境下的重要性。最后,深信服带大家回顾下日常预防的8个『民间偏方』:
- 企业需要警惕“早晚会出事”现象;
- 企业需要警惕“节假日高峰”现象;
- Windows服务器中勒索病毒远大于Linux服务器;
- 定期冷备份或者异地备份,关键时刻能“救命”;
- 大量证据表明,人是企业安全最薄弱环节(弱密码、钓鱼等),内部安全意识提升非常重要(也可以考虑零信任方案);
- 核心数据资产的访问控制需要重点加强,有条件的建议前置堡垒机等方式进行管控;
- 企业内部任何一个漏洞或者僵尸网络主机,都有可能成为入口点,日常打补丁和杀毒是必不可少的;
- 不要迷信专网安全性,各个分支加入专网建议用防火墙等边界控制设备进行隔离管控。
作为国内前沿的网络安全厂商,深信服多年来持续投入勒索防护研究,内容涵盖黑产洞察、病毒研究、情报追踪、投放分析,并沉淀出完整覆盖突破边界、病毒投放、加密勒索、横向传播等勒索攻击链的系统性解决方案,目前已协助1000+各行业用户有效构建起了勒索病毒防护最佳实践。
