近日,深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件,攻击者通过MSSQL的xp_cmdshell执行系统命令,从C&C服务器下载并执行勒索病毒。
执行的相关命令如下:
经安全专家分析,攻击者所使用的程序均通过.NET进行Gzip压缩封装,最终将C++编写的PE解压后注入到CasPol.exe进程(.NET的访问安全性策略工具)执行,进一步分析为Remcos远控和GlobeImposter勒索病毒。
.NET程序的编译时间为2020年11月30号:
而解压后获取到的真实勒索病毒体编译时间为2019年8月15日,已被威胁情报识别为GlobeImposter勒索病毒家族,程序结构也与此前分析无异:
通过威胁情报中心对该远控样本的C&C服务器地址89.39.107.61进行关联情报分析,查看到该远控样本最初是通过URL:195[.]3[.]146[.]180/CyberGuard.exe进行下载到本地;
请求访问IP地址:195.3.146.180,出现Apache2服务器的默认页面;
再结合云端情报监控,捕获到该IP地址在2020年12月5日又更新了上传了恶意样本server.exe,使用的下载url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等,推测该IP为攻击者持续更新攻击武器的服务器地址,且攻击者主要通过扫描数据库弱口令或漏洞进行入侵;
从云端安全设备告警信息中确认,该IP最初在2020年11月14日被识别为漏洞攻击使用IP,并在最近一个月内频繁进行攻击尝试;
攻击的目标当前主要瞄准政府、能源等多个行业,随着攻击者的武器库的持续更新,攻击者后续还会继续尝试其他入侵方式进行攻击,并很有可能扩散攻击对象范围;企业用户需要尽快做好安全加固,避免遭受损失。
.NET程序经过混淆,动态调试时发现其使用GzipStream类解压资源段的数据,得到一个PE文件,在内存中加载该PE文件并调用Dgjxnaq.Structs.Utils的PublishWorker方法:
复制自身到Start Menu\Programs\Police\hhide.exe:
修改注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders的Startup键值为%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Police,实现持久化:
解压第三层PE,是一个模块名为模块名为ClassLibrary3.dll的文件,其主要功能为加压真实的可执行文件并注入到.Net目录下的CasPol.exe中:
该文件是一个由C++编写的远控程序,从反编译后的字符串可以看出是Remcos家族的远控,版本为最新的2.7.2 Pro:
该远控程序具有如下功能:
勒索病毒程序与远控程序相同,也是使用.NET进行了多次封装,多次使用使用Gzip解压资源数据,第一层解压的DLL文件首先在temp目录下释放了一个kill.bat,该脚本用于删除包括数据库、虚拟机、WEB、压缩软件、云等各类服务并结束相关进程:
同时,恶意程序在同目录下释放Ywikoaptapxf.vbs用于拉起和删除bat:
随后将自身复制到自启动目录下的一个新建目录Agust下,命名为Chinna.exe:
紧接着再解压两次嵌套的DLL,最终得到一个C++编写的可执行文件,将该文件注入"C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"进程:
该C++程序是一个已知的GlobeImposter勒索病毒,程序功能与之前的分析基本吻合,首先对自身进程进行提权操作,然后通过修改注册表来关闭Windows Defender:
通过注册表设置自启动:
遍历主机上的磁盘:
遍历目录,使用RSA算法对文件进行加密:
其中会跳过特定后缀文件和目录,避免加密系统文件导致系统崩溃:
加密完成后修改文件后缀:
在每个根目录下释放勒索信息文件:
