Sodinokibi 勒索病毒强势来袭

作者:平台管理员 | 国际 2019/08/15 18:10:47 316

背景概述
近日,全国多省大中型企业持续遭到勒索病毒攻击,经深信服安全团队分析排查,均为一款名为“Sodinokibi”的勒索病毒作祟。该勒索病毒家族的运营团伙近期异常活跃,针对国内众多行业发起攻击,以“先攻破一台,再覆盖全网”的手法,对用户内网主机投放勒索进行加密,受灾最严重的企业内网服务器基本瘫痪,每次遭受攻击解密所需赎金不下20万人民币。
 
蔓延迅猛,来势汹汹

早于今年4月,深信服安全团队首次发现了这款继承了GandCrab代码结构的勒索病毒,将其命名为“DeepBlue”勒索变种,其特点为使用随机加密后缀,并且加密后会修改主机桌面背景为深蓝色:

c159353688a243d874b15c5433be304b.jpg

随后,国内外安全厂商纷纷发布Sodinokibi勒索病毒相关报告。深信服安全团队追踪Sodinokibi勒索家族发展时间轴:

2c7ccd712a1871cc848afa703e7f9440.jpg

据深信服安全团队统计,该勒索病毒问世以来,对国内各行业的中大型用户进行针对性攻击,从感染行业分布图来看,安全防护较为薄弱的医疗卫生行业受灾较为严重,其他各行业均遭到不同程度的攻击:

79ae5f8d16dc3ca00a86c6d81f5ee0f3.jpg

二、恶意软件预警概要

 事件名称备注


Sodinokibi勒索病毒预警

 
 

时间(地点)

 

时间及地点 2019.8.15

 

上海、北京、江苏、河北、广东、甘肃、湖北、马来西亚等地区)

 

简述

 

预警信息简述(1~2句话)

 

上海、北京、江苏、河北、广东、甘肃、湖北、马来西亚等地区有感染案例,截止目前近二十家企业遭到攻击,医疗、教育、政府、企业等行业均遭到感染

 

发生条件/发生原因

  病毒事件发生条件或发生原因(如未打补丁的漏洞被利用、钓鱼邮件被打开...)

 

该勒索病毒早期通过漏洞利用进行攻击,目前主要监测到通过RDP暴力破解等方式进行传播

 

威胁等级

 

(高/中/低)

 

 

威胁类型

 

(勒索/信息窃取/后门/篡改/钓鱼...)    

 

勒索

 

传播方式

 

漏洞利用内网传播、邮件或非法软件传播、WIFI或蓝牙传播...

 

该勒索病毒变种目前主要通过弱口令爆破后人工投放等方式进行传播
 

三、恶意软件详细分析

高效攻击,手法专业
在该勒索病毒活动的初期,曾通过漏洞利用的手法来进行攻击,被披露的漏洞利用包括Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等。或许是漏洞利用的目标范围较小,攻击过程较为复杂,从7月份开始,该勒索病毒的攻击手法逐渐演变成较为简单高效的RDP爆破入侵。
 
主要攻击过程为,先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限,再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和PC进行加密,可谓一台失陷,全网遭殃,具体示意图如下:
acd89c56968594f206b006b4216557e9.jpg

在溯源过程中,深信服安全团队多次发现攻击者遗留的工具包,主要包括了勒索病毒体、开源或已有的扫描工具、控制工具,以及攻击者自制的bat脚本类工具:

958ef0449034e9baba3590f29d1dbe9d.jpg350c5ea48f13bb04b08ef47ae60e5d53.jpg


其中ProcessHacker、PCHunter、DefenderControl、xwdef等工具用于卸载用户主机的安全软件,关闭Windows defender功能,bat脚本主要用于删除系统备份,禁用系统功能等:

07ade97f06ac676e43255c80cc4680d7.jpg

6f35db9ba5f4fd8d39d599c9e2c625f2.jpg

攻击者有时会使用mimikatz来抓取内网密码,再使用远程桌面登录或远程工具连接到各个目标主机,此时内网设备在攻击者眼中暴露无遗,危害难以估量:

f9a7dcf0da591a34af48b77de8a75312.jpg

Sodinokibi勒索病毒已形成产业化规模
实际上,Sodinokibi勒索病毒的爆发主要得益于其形成的产业化规模,即分布式团伙作案,每个人各司其职,按劳分配,多劳多得。首先,Sodinokibi勒索病毒运行成功后,会在主机上留下如下勒索信息,形如“随机后缀-readme.txt”的文档:

78e6a1e4a19b28595e3f0a926c42bcd1.jpg

勒索信息中留了两个用于联系黑客的网页,一个是暗网聊天网页,一个是普通聊天网页,受害企业可以根据自身情况任意联系(访问)其中一个链接。访问该链接后,可以通过网页进行聊天,设计十分专业,用于黑客与受害企业就赎金问题进行协商。

6df41b88de650838060b541f0b61c7a1.jpg

实际上,该作案团伙已经形成一个产业化的团队,黑客不直接与受害企业沟通,而是雇佣了一批线上客服,7*24小时在线,负责与受害者沟通,并协商价格。这个工作技术难度较低,但需要人力较多,在线时间较长,所以外包给客服再合适不过了。当然,线上客服没有最终定价权,最终赎金价格由上级老板拍板,即Sodinokibi勒索病毒的组织运营者。
 
Sodinokibi勒索病毒的要价普遍偏高,多数是在3到6个比特币,所以其主要攻击对象是企业,并且是中大型企业,其攻击目的是瘫痪企业核心业务网络,因此很多受害企业迫于无奈交了不少赎金。
 
由于其为产业化运作,故每个参与者都有相应的分成。深信服安全团队通过多次跟踪研究发现,当受害企业向黑客钱包转入比特币的时候,此钱包会分批次转入其它成员的钱包。
 
如下图所示,某次攻击成功后,将赎金分2批转给了4个钱包,分别是勒索病毒作者钱包、集成平台提供商钱包、线上客服钱包、统筹钱包。

a08dd9d3e19e12964f8f117eb2d97b42.jpg

勒索病毒作者、集成平台提供商属于薄利多销型,每一笔交易都有提成,所以单次提成比例虽低,但总数是非常客观的;线上客服按劳分配,说服一个客户,就有一小笔提成,当然大头不在他们,因为他们可替代性比较强,技术难度也不大。
 
每次攻击所得的赎金,大头由统筹钱包分配给了攻击者和组织运营者,攻击者是实际从事攻击企业的个人或者渗透团队,所以单次成功后的贡献比较大,而任何个人和团队都能参与到不同客户的攻击活动中来,类似销售团队,每成一单,提成都比较可观。最后的大头,当然给了组织运营者,其负责拉通了各个环节和资源,保障平台和团伙的正常运作。

980c724bfe53b13d3c98bfafea31bf7d.jpg

大致抽象出其交易流程如下:

4a06975f8cfe666528ee6d24a39b18d2.jpg


基于上述追踪,Sodinokibi勒索病毒的产业化运作模式可以抽象如下:

63dfd08308f9309997ea76d9d08801b8.jpg

四、影响范围
Sodinokibi勒索病毒于2019年4月被发现,此后一直有持续的活动,在近期呈爆发趋势,深信服安全团队已发现上海、北京、江苏、河北、广东、甘肃、湖北、马来西亚等地区有感染案例,截止目前近二十家企业遭到攻击,医疗、教育、政府、企业、制造业、运行商、建筑、媒体等行业均遭到感染。
 
五、解决方案
针对勒索病毒肆虐,严重影响用户业务安全问题,深信服已有完整的解决方案,主要从系统脆弱性和事件响应高效性两个方向进行重点突破。众所周知,企业系统脆弱性是企业被勒索病毒入侵的根因,很多企业内网核心服务器虽然开启了防爆破、强密码等保护,但普通PC仍存在漏洞、弱密码、高危端口暴露等诸多问题,才给了黑客可乘之机;而勒索病毒不同于其它病毒,其主要危害是短时间内威胁企业核心数据资产,所以当勒索病毒发生的时候,必须进行争分夺秒的事件响应,高效和专业才能将勒索病毒的危害迅速降到最低。
 
深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

8e9e3a8df216ec6732be985635d2ce9e.jpg

深信服安全团队提醒大家:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
10、深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
 
您如果中了勒索病毒,需要支撑响应的,可以通过以下方式联系我们,获取关于勒索病毒的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通勒索软件专线)
2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问深信服区
bbs.sangfor.com.cn,选择右侧智能客服,进行咨询
 
 
六、相关IOC
 
MD5:
32711C7567D9198F14C3DB6C06234869
623203B082D52FDFA8A1A244425EE3C9
715AA99B1EC157626E809E458408911C
3801FB9BAD1A6E8DFA673791AE0DE8D4
B010DD1A13D13813990C003D435C3477


d640e9c7fb021d9eca10fa1d4b9877c1.jpg


推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室