分享

更多

   

可信计算主动防御Globelmposter3.0变种勒索病毒

2018-09-05  kaller_cui

Globelmposter病毒首次出现的时间为2017年5月,在2017年11月也有过一次疫情爆发。Globelmposter2.0变种勒索病毒早在今年2月再次爆发,攻击手法极其丰富,可以通过社会工程、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,有:

.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等后缀。

本次爆发的样本为Globelmposter3.0家族的变种,其加密文件使用Ox4444扩展名,由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒加密的文件暂无解密工具,文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

从勒索病毒样本层面看,此次的Globelmposter3.0变种勒索软件在代码上进行了一些改变。如以往该家族样本在加密之前会结束诸如

“sql”,“outlook”,“excel”、”word”等进程,而此次的勒索病毒则没有这些对进程的检测的代码。

Globelmposter3.0变种勒索病毒使用了RSA+AES加密方式,其中AES密钥的生成方式并不是通过传统的随机函数等生成,而是通过CoCreateGuid函数生成全局唯一标识符,并将该标识符做为AES加密算法的secretkey。

病毒行为

复制自身并添加开机启动

病毒运行后会将病毒本体复制到%LOCALAPPDATA%或C:\Users\Public目录,删除原文件并设置自启动项实现开机自启动,注册表项为:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\

加密系统内文件

文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

利用受感染计算机继续进行传播

在计算机受到感染后,立刻会通过该计算机继续攻击内网内计算机进行传播,传播方式如下:

1、使用windows漏洞,如:“永恒之蓝”。

2、使用RDP暴破,使用受感染机器帐号密码、弱口令、密码字典等进行RDP暴破。

3、人工控制被感染计算机进行内网渗透攻击。

完美防御Globelmposter3.0变种勒索病毒

可信计算-度量防御

针对此次事件,采用可信计算3.0技术的可信计算公司“蓝海可信-操作系统基因免疫平台”(以下简称:“可信免疫平台”)充分体现了其主动免疫技术的先进性,展示了对未知病毒木马以及系统漏洞的防御能力,能够根本阻止未来的攻击事件。其具体技术路线如下:

基于可信度量技术形成系统免疫能力,保证恶意代码无法执行

采用主动防御机制,提供执行程序实时可信度量,阻止非授权及不符合预期的执行程序运行,实现对已知/未知恶意代码的主动防御。对于本次勒索病毒爆发,部署可信免疫平台终端能够实时阻止病毒主体的运行,从根本解决未知恶意代码的危害。通过实际测试,20余种病毒变种样本均被拦截,拦截率100%

将恶意代码加入预期值内,允许病毒执行

“可信免疫平台”支持根据业务访问需求授权进程对数据文件的访问权限,确保受保护的文件不被其他进程违规访问;同时支持设置进程对授权文件以外的文件访问权限,强制限制进程只拥有合理的业务访问权限。即使用户由于误操作或被欺骗,为此病毒赋予了可执行权限,平台也可以通过为数据文件指定合法的访问进程,阻止病毒破坏关键数据。真正实现“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”安全防护效果如下:

1、GlobeImposter病毒加入可信列表中,允许其执行。

2、病毒的恶意行为被“可信免疫平台”所拦截,病毒程序崩溃,执行失败。

3、查看“可信免疫平台”日志,可见拦截病毒的详细信息。

首先,病毒复制自身被拒绝。

其次,勒索病毒尝试执行.bat脚本来写入注册表及执行加密操作等均被拒绝。

主动防御Globelmposter网络传播攻击

Globelmposter病毒会在内网利用已感染的计算机进行传播,并在内网中病毒传播一般无任何安全设备对其进行约束,其传播危害极大,而“可信免疫平台”可以完全主动防御Globelmposter变种勒索病毒在内网的任何攻击行为。

“永恒之蓝”漏洞传播攻击防御

Globelmposter病毒会使用多种windows漏洞进行攻击并在内网传播,此次以“永恒之蓝”为例。

首先,使用“永恒之蓝”漏洞脚本进行攻击,执行含有Globelmposter病毒的恶意代码,显示超时,没有任何会话产生。

查看“可信免疫平台”审计信息,可见rundll32.exe尝试执行

Globelmposter被拦截,这就是永恒之蓝漏洞注入了rundll32.exe进程并尝试加载病毒而被“蓝海可信-操作系统基因免疫平台”拦截。

RDP暴破攻击防御

Globelmposter会在内网中进行RDP暴破攻击,它会使用已被感染的计算机的用户名密码,以及弱口令、密码字典等。

如下图所示,“可信免疫平台”采用“多因子身份认证”机制,用户在登陆时必须插入硬件USB-Key并且输入Key的Pin密码才可进入系统,此保护机制同时也保护RDP协议,即时用户使用了弱口令或者字典密码,也不会被黑客暴破。

以下是模拟RDP暴破过程:

1、首先,查看windows帐号密码,将其写入字典内准备破解。

2、可以看到administrator的密码为123456,我们将这个密码写入字典内,用于密码暴破测试。

3、开始模拟暴力破解。

整个暴破过程中,该暴破软件已经使用了存在的密码123456尝试登录系统,但是仍然提示没有找到有效的密码,可见“可信免疫平台”的多因子身份认证机制起了防暴破作用。总而言之,即使嗅探到了正确的帐号和密码,那么RDP暴破过程中没有USB-key认证,也无法登录操作系统。



最后总结





从以上真实病毒样本测试效果与漏洞攻击防御效果来看,基于可信计算3.0技术自主研发的“蓝海可信-操作系统基因免疫平台”,能够主动免疫来自国家级国际网络空间未知蠕虫、木马和病毒的新型攻击,有能力保护我国关键信息基础设施的安全,有效地捍卫我国网络空间主权。

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。如发现有害或侵权内容,请点击这里 或 拨打24小时举报电话:4000070609 与我们联系。

    猜你喜欢

    0条评论

    发表

    类似文章 更多
    喜欢该文的人也喜欢 更多