GandCrab 5.2利用ACE解压缩漏洞(unacev2.dll漏洞)传播

作者:   深圳市网安计算机安全检测技术有限公司 2019/03/27 10:29:27 225次阅读 国际
文章来源:https://mp.weixin.qq.com/s/7Hq1mQZgzZDXlhL9BTz5GQ

       近日,腾讯御见威胁情报中心再次监测到,GandCrab 5.2勒索病毒利用WinRAR漏洞(CVE-2018-20250,系unacev2.dll代码库高危漏洞)传播。病毒隐藏在压缩文件中,在未修复漏洞的电脑上解压文件时,便会触发漏洞利用,病毒母体被释放到启动目录中。一旦用户重启或重新登录系统,GandCrab勒索病毒将自动运行并加密所有数据文件。

      GandCrab作为国内最活跃的勒索病毒之一,自2018年初诞生之日起就在国内疯狂扩张感染。在过去一年多的时间内该病毒利用多种手段,多种传播渠道对我国多个政企机构发起攻击,致使多家政企机构遭受到不可逆转的损失。

GandCrab在国内传播主要依靠以下手段:
      1.鱼叉式定向投递邮件攻击;
      2.垃圾邮件群发;
      3.感染U盘、移动硬盘,并配置自动播放模式传播;
      4.感染硬盘压缩文件,感染硬盘中的Web目录;
      5.RDP爆破,VNC爆破;
      6.网站挂马;
 

      现在又增加了新的传播手法:隐藏在ace格式的压缩文件中,欺骗用户解压缩。

6d887ba62216876aedb63fa7788dec64.png

        

          诱饵压缩包内为包含名为help.txt的0字节空文档,欺骗受害者解压后查看。
 

5ab8a4362937554af65f6b259841eeca.png

       未修复漏洞的电脑在本地计算机解压文件后,便会触发漏洞利用,释放GandCrab v5.2勒索病毒到启动目录。 
 

002741da9c61efb3dbe7ae969d5947f6.png

       名为update.exe的病毒母体解压后被存放于开机启动项目录,此时重启或重新登录系统,该勒索病毒将会自动运行,开始加密用户磁盘中的数据文件。
 

ddde2f1d9cb83dc45002dcddc37bad50.png

         去UPX后的程序依然为外壳程序,通过在内存中可找到真正的勒索payload
 

5819a2173faf789a392d2652891802dc.png

        查看payload此次样本依然会对病毒使用到的所有字符串进行动态解密使用,但该样本并未像以往GandCrab一样对代码进行花指令混淆,猜测本次样本可能为作者少量测试投放版本。
 

e78608947831f70c85bbd147a718eef5.png


       通过病毒硬编码版本号可知为GandCrab 5.2版本勒索病毒
 

1b5819e5fe0206b137fa57f764867553.png

       此次的GandCrab 5.2版本互斥量变更为AversSucksForever,这也代表此前的BitHuender互斥量免疫方案将不适用于此病毒版本

5d201128b1e2b26ab881d6ea94ded5b2.png


        病毒最终会加密系统中的多种类型文件并添加.uhymsoofa随机扩展后缀
 

314c7521195bc8f7a536e45bd228b4d1.png

替换桌面壁纸并留下勒索说明文档

参考链接:
《勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击》

IOCs
MD5:
d976cf512131c1e3772ac498bd2ed4a2
d5a7073acd33cdbcd520fab55cb4e316 

安全建议
企业用户:
      1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
      2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
       3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
       4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
       5、对重要文件和数据(数据库等数据)进行定期非本地备份。
       6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
       7、升级压缩工具软件,或删除压缩工具目录下的unacev2.dll。

       8、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

3ee7a953f344637219a5d451d959d964.png

      9、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。


个人用户:
      1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码;
      2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
      3、升级压缩软件到最新版本,或删除压缩软件安装目录下的unacev2.dll文件(可以在硬盘上搜索查找该文件)

8b3d92183ed2e6c558d53613ed40e553.png


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室