产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
GandCrab勒索病毒家族开始借助钓鱼邮件附加DOC文档传播
2019-01-11 01:41:17
一、概述
近日,腾讯御见威胁情报中心监控到GandCrab勒索家族使用钓鱼邮件攻击的案例,攻击者通过邮件内附带doc文档的方式,诱导受害者打开文档,一旦文档被打开,开启宏代码的条件下则会执行恶意代码,进而下载GandCrab v5.0.4勒索病毒执行。
GandCrab勒索病毒是2018年非常活跃的勒索病毒家族,御见威胁情报中心曾经多次发布预警。该病毒家族自2018年9月起增加了蠕虫式的传播渠道:通过感染U盘、感染压缩文件、感染Web目录,以及弱口令端口爆破等方式在局域网内主动扩散传播,蠕虫式的传播导致该病毒在一段时间内感染量激增。
现在,该病毒家族再次增加通过钓鱼邮件欺骗附带Word文档执行恶意宏代码的攻击方式,将促进该病毒进一步扩散,御见威胁情报中心再次提醒各政企机构严加防范。
二、宏文档传播的勒索病毒
恶意文档名为rechnungen.doc,其实际内容为空,攻击者通过钓鱼邮件发起鱼叉式攻击的方式,诱导受害者下载附件,打开文档。如果收到邮件的人按提示启用恶意宏代码,将导致更加严重的后果。
恶意宏代码执行后,会从URL(hxxp://karbonkoko.com/rundll.exe)处下载恶意文件,该文件为GandCrab 5.0.4勒索病毒。
包含恶意宏代码的doc文档,文档名为rechnungen.doc
查看混淆的恶意宏代码可知该doc文档为DownLoader木马
执行后的恶意宏代码会Get请求获取hxxp://karbonkoko.com/rundll.exe文件
最终将下载到的rundll.exe文件在Public目录名下以yezjqhfmwjxi.exe 执行
yezjqhfmwjxi.exe本质为外壳装载器,通过在内存中解密执行真正的恶意payload
查看payload文件入口为标准的GandCrab病毒花指令混淆
传播病毒为GandCrab病毒版本5.0.4
病毒感染成功后加密文件添加yledlyjaat随机扩展后缀
GandCrab勒索病毒是2018年以来最为活跃的勒索病毒之一,该病毒在短短一年时间内历经5次大版本更新,目前5.0大版本病毒加密用户文件后会添加随机5-10扩展后缀,同时修改用户桌面。国内目前感染的该病毒最新版本为5.1.6,但目前国内感染量最多,最为活跃的病毒依旧为5.0.4版本。
GandCrab最新5.1.6加密完成版本
三、内网攻击扩散机制
GandCrab在国内通过弱口令爆破传播感染也十分流行,腾讯安全应急响应中心在多次实地检查真实攻击案例后,发现部分企业存在局域网内多台机器使用同一弱口令的问题,这些管理漏洞导致企业内网大面积感染勒索病毒,业务系统被攻击瘫痪的案例时有发生。
通过采集勒索现场攻击者留下的相关工具,可还原勒索病毒攻击真实场景,以下为某公司中勒索病毒后现场提取到的攻击者使用工具Project 2.0。
攻击者首先通过入侵控制一台企业内对外服务的机器,然后在该机器上传作案工具。该工具为Delphi 7编写的攻击套件管理集,可以一键结束非系统的无关进程,一键下载执行内网攻击使用到的多个组件。
通过观察该工具组件,我们推测入侵者的攻击流程如下:
1、攻击者首先使用processhacker与ARK工具gmer尝试与机器内的安全软件做对抗,尝试突破安全软件防护,使安全软件的保护功能失效。
2、运行执行命令,激活当前用户,关闭防火墙,删除卷影信息等,删除卷影信息为防止勒索病毒加密后的原始文件被找回。
3、使用mimikatz获取当前主机信息,主要目的为拿到当前机器登录密码,管理工具同时集成了mimikatz x32和x64两个不同软件版本。
4、使用Advanced_IP_Scanner或NS(NetWorkShare)扫描工具扫描局域网中其它活跃机器。
5、使用前期准备工作拿到的口令,尝试以弱口登录局域网内更多机器,一但企业内多台服务器使用统一弱密码,则会被攻击者进一步攻击成功进而运行勒索病毒,从而导致企业内网多台机器染毒中招。
6、登录成功其它同样采用弱口令的机器后,运行payload实施勒索病毒攻击。作案完毕再执行一键关闭自删除功能毁尸灭迹。
四、安全建议
企业用户:
1、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、 对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止Office启用宏代码。
7、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、 启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码
2、 打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
IOCs
MD5:
444749249e358f3c67d0abc468b8349c
acb2a86049680d7e4b95bf501b9b11cc
URL:
hxxp://karbonkoko.com/rundll.exe
在线咨询
方案定制