产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文警惕Buran勒索病毒针对国内企业的爆破攻击活动
2020-05-01 09:44:48
一、概述
Buran勒索病毒自2019年9月开始,在国内开始进行攻击狩猎行动。在国内该病毒主要借助垃圾邮件,弱口令爆破两种方式传播。早期版本该病毒加密文件后会添加扩展后缀.Buran,因此得名。新版本病毒加密文件后会添加随机扩展后缀,同时留下名为!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT的勒索信,要求用户联系指定邮箱购买解密工具。该病毒主要使用了RSA+AES的方式对文件进行加密,经分析,被加密后,文件无法解密,因此,我们提醒各政企机构提高警惕。
B站UP主党妹团队NAS被勒索病毒加密一案,正是Buran勒索病毒所为。由于该病毒未向服务器上传本地RSA 512密钥信息,故无法通过流量侧拿到关键密钥。同时该病毒加密过程本地生成的RSA密钥对虽然是RSA 512(不安全的RSA),存在通过其注册表内保存公钥暴力破解的风险,但由于病毒运行结束后将本地保存在注册表内的公钥信息进行了删除,且通过系统备份工具,注册表恢复工具无法恢复到删除前(Hive文件)注册表信息,故被该病毒成功攻击后被加密文件不缴纳赎金情况无法恢复。
以下为详细技术分析:
二、分析
1.该病毒通过垃圾邮件渠道使用宏文档传播
2.通过弱口令爆破渠道传播,观察用户被攻击真实场景可知,病毒爆破过程会进行代理频繁切换操作。
例如下图中我们从被攻击者侧看到的相关代理爆破登录源IP信息,在腾讯安全大数据平台已标记代理,RDP攻击信息
222.174.105.82
222.80.125.103
36.48.159.57
139.217.219.214
218.88.202.29
61.177.46.122
58.220.217.38
60.191.179.234
36.7.106.82
211.100.49.2
......
该病毒作者疑似俄语系国家,故该病毒加密时会将部分俄语系列国家列入白名单,419(俄罗斯),422(乌克兰), 423(比利时),43f(吉尔吉斯坦)
同时病毒运行时会判断命令行个数,当命令行参数为“-agent 0”2个参数时进入文件加密逻辑。
加密时会首先在本地生成一堆RSA 512密钥对,同时在注册表位置HKEY_CURRENT_USER\Software\Zeppelin处进行临时存放。位置Public Key键值处存放加密后的RSA 512公钥(E,N)信息,加密流程为使用本地随机生成的0x20字节的RC4密钥对RSA 512公钥信息进行加密,随后RC4密钥拼接RSA 512公钥后进行Base64编码存放。私钥信息则被硬编码RSA 2048公钥加密后Base64存放到Encrypted Private Key位置内。
文件加密过程则为对每个文件生成AES-KEY和IV,随后对文件进行AES-256-CBC加密。AES密钥信息则使用本地生成的RSA 512私钥加密后,再进行RC4加密后存放到尾部,其本地生成后被加密的Encrypted Private Key信息也被附加于文件尾部
同时,由于病毒运行前会禁用系统恢复功能,删除系统卷影,清楚系统内备份数据信息,导致通过文件恢复类工具同样无法恢复机器内被修改数据。
加密文件结束后,病毒会删除掉本地保存密钥信息的注册表相关键值
分析病毒可知,由于该病毒未向服务器上传本地RSA 512密钥信息,故无法通过流量侧拿到关键密钥。同时该病毒加密过程本地生成的RSA密钥对虽然是RSA 512(不安全的RSA),存在通过其注册表内保存公钥暴力破解的风险,但由于病毒运行结束后将本地保存在注册表内的公钥信息进行了删除,且通过系统备份工具,注册表恢复工具无法恢复到删除前(Hive文件)注册表信息,故被该病毒成功攻击后被加密文件不缴纳赎金情况无法恢复。
被加密后系统内全盘文件被添加随机扩展后缀,同时留下名为!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT的勒索说明信,要求用户联系指定邮箱获取解密工具。
三、安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。.
8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码
2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
腾讯安全产品针对Buran勒索的解决方案清单
|
拦截 位置 |
安全产品 |
解决方案 |
|
威 胁 情 报
|
腾讯T-Sec 威胁情报云查服务 (SaaS) |
各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力 https://cloud.tencent.com/product/tics 1)Buran勒索相关联的IOCs已入库 |
|
腾讯T-Sec 高级威胁追溯系统 |
网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头 https://cloud.tencent.com/product/atts 1)Buran勒索相关信息和情报已支持 |
|
|
边界 防护 |
云防火墙 (Cloud Firewall,CFW) |
对云上恶意流量实施拦截阻断 https://cloud.tencent.com/product/cfw 1)支持Buran勒索相关联的IOCs识别和拦截。 |
|
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
基于网络流量进行威胁检测https://cloud.tencent.com/product/nta 1)Buran勒索相关联的IOCs的识别检测 2)Buran勒索投递的恶意附件进行沙箱检测 |
|
|
终端 保护 |
T-Sec 主机安全 (Cloud Workload Protection,CWP) |
云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等 https://cloud.tencent.com/product/cwp 1)可查杀Buran勒索相关病毒文件 |
|
腾讯T-Sec终端安全管理系统(御点) |
企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等 https://s.tencent.com/product/yd/index.html 1)可查杀Buran勒索相关病毒文件; 2)支持Buran勒索诱饵使用的恶意Office宏代码的检测和清除; 3)主动防御功能可拦截病毒加密系统内文件行为 |
IOCs
MD5
24e0db379fa23a4f4f549edaf9137667
在线咨询
方案定制