近期,國家計算機網絡應急技術處理協調中心廣東分中心發佈GlobeImposter勒索病毒家族傳播預警,預警報告中指出GlobeImposter正在利用RDP(遠程桌面協議)遠程爆破等方式突破企業邊界防禦,再進一步進行內網滲透感染高價值服務器並加密文件。目前,多數據中心遭受到此病毒攻擊受到影響。
浪潮SSR安全技術團隊在第一時間針對GlobeImposter傳播和感染的原理,在SSR5.0版本中進行了防護效果驗證。目前,SSR5.0版本的主動防禦功能和應用程序管控功能均有較好的防護效果。
新病毒採用更強加密算法,無秘鑰文件無法恢復
本次爆發的GlobeImposter勒索病毒,採用RSA和AES兩種加密算法的結合,加密磁盤文件並將後綴名篡改為.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.RESERVE等。現已確認,在沒有病毒作者私鑰的情況下無法恢復被加密的文件。最終該病毒將引導受害者通過郵件與勒索者進行聯繫,要求受害者將被加密的圖片或文檔發送到指定的郵箱進行付費解密。
勒索軟件在加密文件的同時創建了勒索信息文件how_to_back_files.html,要求受害者將一個加密的圖片或文檔發送到指定的郵箱,由於加密的文件末尾包含個人ID,攻擊者可以通過個人ID及其手中的RSA私鑰解出用以解密文件的私鑰,這樣就可以識別不同的受害者。攻擊者會給出解密後的文件及解密所有文件的價格,在受害者付款後,攻擊者會發送解密程序。
浪潮SSR可有效防護GlobeImposter勒索病毒
浪潮安全團隊採用SSR5.0版本對GlobeImposter樣本進行防護對比驗證。驗證環境中部署了三臺Win7操作系統的服務器,其中服務器A不安裝SSR,服務器B安裝SSR並開啟主動防護功能,服務器C安裝SSR並開啟應用程序管控功能。三臺設備配置信息如下表所示:
驗證設備配置信息
1、服務器A中執行GlobeImposter樣本
因服務器A中未部署SSR客戶端,在執行GlobeImposter樣本後,原文本文件test1.txt被加密,並將後綴名修改為.doc。此外,因文本文件text2.txt為空,根據GlobeImposter文件加密過濾規則,將不對空文件進行加密,即下圖所示text2.txt並未被加密。
在被加密文件的目錄(此處截圖為桌面)生成勒索文件信息Read_ME.html,用於用戶支付贖金接口。
未部署SSR的服務器A遭受GlobeImposter攻擊
2、服務器B中執行GlobeImposter樣本
服務器B部署SSR客戶端,並開啟了主動防禦功能,其他功能暫不開啟,主要驗證主動防禦功能是否可阻止GlobeImposter發作。
在服務器B中執行GlobeImposter樣本,暫時未發現異常。查看任務管理器,發現GlobeImposter.exe已經執行,但桌面上的text.txt被未被加密,也未產生生成勒索文件信息Read_ME.html。
GlobeImposter.exe樣本在服務器B中執行情況
SSR集中管理平臺中主動防禦功能監控界面的攔截日誌顯示,SSR主動防禦功能攔截了GlobeImposter.exe在temp目錄中創建system.dll文件(勒索軟件的變種不同,釋放的dll可能不同)。這主要是因為主動防禦功能內置了相應的安全策略——禁止在系統目錄C盤中創新任何dll動態庫,該策略可阻止勒索軟件啟動時在系統目錄釋放可執行文件和動態庫,防止其後續的加密操作。
SSR主動防禦功能攔截system.dll創建日誌
此外,SSR主動防禦功能還內置多種安全策略,可阻止非授權在系統目錄中創建如exe、dll、com、sys等後綴的可執行文件,保證系統不被惡意代碼攻擊。如果客戶服務器除了C盤還有其他盤,建議配合應用程序管控一起使用,這將有更好的防護效果。
3、服務器C中執行GlobeImposter樣本
服務器C部署SSR客戶端,並開啟了應用程序管控功能(軟件白名單),其他功能暫不開啟,主要驗證應用程序管控功能是否可阻止GlobeImposter發作。
在執行GlobeImposter前,已經對服務器C進行白名單採集。在服務器C中執行GlobeImposter樣本後,系統直接彈出該程序無法執行的提示。
GlobeImposter.exe樣本在服務器C中執行情況
打開SSR集中管理平臺中應用程序管控功能監控界面,從程序運行狀態中可以發現GlobeImposter.exe的信任級別為未知,在正常運行模式下,如果應用程序管控功能識別到程序為未知或黑名單,SSR將直接阻止程序的執行,如果識別為白名單或灰名單,程序將可以執行。從程序管控事件中可以看出出,SSR應用程序管控功能阻止了GlobeImposter.exe樣本的執行。
SSR應用程序管控攔截GlobeImposter.exe啟動操作
從GlobeImposter傳播和感染的原理,以及實際驗證的情況來看,SSR5.0版本主動防禦功能和應用程序管控功能均有較好的防護效果。針對GlobeImposter發作的各個階段,SSR提供了多維度的防護功能。
SSR相應功能防護說明
防護勒索病毒,浪潮安全專家支招
對於近期氾濫的GlobeImposter勒索病毒家族,浪潮安全專家給出了有效防護的建議:
- 避免在服務器中使用過於簡單的口令。登錄口令儘量採用大小寫字母、數字、特殊符號混用的組合方式,並且保持口令由足夠的長度。同時添加限制登錄失敗次數的安全策略並定期更換登錄口令。
- 多臺機器不要使用相同或類似的登錄口令,以免出現“一臺淪陷,全網癱瘓”的慘狀。
- 重要資料一定要定期隔離備份。此處尤其注意隔離,在以往的反饋案例中從來不乏確有備份,但由於在同一網絡內,導致備份服務器一同被加密的情況。
- 及時修補系統漏洞,同時不要忽略各種常用服務的安全補丁。
- 關閉非必要的服務和端口如135、139、445、3389等高危端口。
- 嚴格控制共享文件夾權限,在需要共享數據的部分,儘可能的多采取雲協作的方式。
- 提高安全意識,不隨意點擊陌生鏈接、來源不明的郵件附件、陌生人通過即時通訊軟件發送的文件,在點擊或運行前進行安全掃描,儘量從安全可信的渠道下載和安裝軟件。
閱讀更多 浪潮圈 的文章
