黑产竞争激烈:一台服务器遭遇两拨黑客进攻

2018-04-26 11:36:04
腾讯御见威胁情报中心日前接到某公司反馈,公司一台Windows服务器中招勒索病毒,数据被加密,攻击者留言勒索0.3比特币。腾讯安全专家现场查看该公司被加密破坏的服务器,发现数据已被GlobeImposter勒索病毒家族加密,事件起因疑似由于该公司防火墙配置存在风险,导致服务器端口暴露...

1 概述

腾讯御见威胁情报中心日前接到某公司反馈,公司一台Windows服务器中招勒索病毒,数据被加密,攻击者留言勒索0.3比特币。

腾讯安全专家现场查看该公司被加密破坏的服务器,发现数据已被GlobeImposter勒索病毒家族加密,事件起因疑似由于该公司防火墙配置存在风险,导致服务器端口暴露,被黑客扫描攻击。腾讯安全专家检查被加密服务器系统的登录日志,还意外发现,这台服务器在同时间段内曾被两拨入侵者尝试远程爆破攻击。


两个攻击团伙同时对这台服务器进行爆破攻击

2 事件分析

观察被攻击服务器系统日志,发现攻击团伙A2018-4-13开始使用RDP爆破的方式对服务器进行间断性的爆破尝试。然而自始至终并没有爆破成功。通过系统日志可知A团伙爆破使用了以下账户名:

user2

praxis

admin3

rendszergazda

sicfe

Kawase

......

而攻击团伙B2018-4-14开始SMB爆破,并且在2018-4-15 15:01:33爆破成功,而后在2018-04-17 22:18:35成功登录服务器,扫描使用的ip为:185.156.177.1894.229.68.134,地址分别来自英国和俄罗斯。团伙B爆破使用以下账户名:

    admin

    user

    usuario

    administrador

    guest

    administrateur

    Administrator

......


团伙B爆破登录成功

爆破登录服务器成功后的团伙B向服务器植入了GlobeImposter家族勒索病毒,该勒索病毒家族使用了RSA+AES加密方式,加密过程中涉及两对RSA密钥(分别为黑客公私钥和用户公私钥)和一对AES密钥。

黑客RSA密钥用于加密用户RSA密钥,用户RSA密钥用于加密AES密钥,AES密钥用于加密文件内容。所以,如果数据被该勒索病毒加密,在攻击者没有公布手中私钥的前提下,以目前技术手段暂无法暴力破解解密文件。


GlobeImposter加密主要流程

加密服务器成功后的团伙B通过留言,要求受害者联系邮箱aoki@airmail.cc进行文件解密,并声称不会保留文件解密密钥在服务器上太长时间,进而恐吓催促受害者尽快与其联系,缴纳文件解密赎金。该团伙要求受害者支付0.3比特币的赎金。

被加密服务器留言

幸运的是,由于某些原因,本次事件受害企业服务器核心数据未被加密。企业虚惊一场,该公司运维人员已通过重装系统,恢复核心数据的方式恢复正常业务。两团伙费尽心思,最终也是竹篮打水一场空。

对比以往类似事件来看,本次勒索金额并不是太多,这也可能是该团伙考虑到核心数据并未加密后开出的一个价码。虽然如此,企业依然要提高安全意识,做好安全防护和业务备份,避免给黑客入侵以可乘之机。

3 未来趋势

通过腾讯电脑管家蜜罐监控大数据分析可以看出,近期使用RDPSMB爆破方式实施的勒索病毒攻击上升迅速。腾讯御见威胁情报中心的统计显示,4月份针对企业服务器的勒索病毒事件增长了34%。参考《以Windows服务器为攻击目标 或成勒索病毒新趋势》https://s.tencent.com/research/report/466.html

黑客为了获取高数额的不义之财,通常会花费大量时间成本针对政企机构实施耗时长久的攻击。如果该类机构缺乏安全意识,则很容易被黑客成功偷袭。


3389攻击连接趋势


445攻击连接趋势

安全建议

针对此类威胁,腾讯御见威胁情报中心给出以下安全建议。

1、尽量关闭不必要的端口,如:445135139等;

2、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理;

3、将内外网隔离,对外服务器尽量与内网隔离,防止对外服务器被入侵后,黑客能进一步渗透内网;

4、建立白名单,重要数据、系统、机器只允许授权ip访问;

5、及时打补丁,修复系统或第三方软件中存在的安全漏洞。

6、使用腾讯御界高级威胁检测系统(下载地址:https://s.tencent.com/product/gjwxjc/index.html)检测该轮攻击的连接行为。

御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。凭借基于行为的防护和智能模型两大核心能力,御界高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。通过部署御界高级威胁检测系统,及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,保护企业网络安全。


IOCs

勒索邮箱

aoki@airmail.cc

扫描IP

185.156.177.18

94.229.68.134

最新资讯