勒索病毒冲着企业服务器来了 CSO们怕了么?
|
副问题[/!--empirenews.page--]
【资讯】 一、配景 近期,针对Windows处事器进攻的打单病毒一连撒播,尤其是2018年年头海内数家机构处事器被GlobeImpsoter打单病毒进攻,导致营业大面积瘫痪,这引起了各人对处事器安详的存眷。 按照腾讯御见威胁谍报中心监控,每周都有企业Windows处事器被打单病毒进攻,处事器上的数据文件被加密,严峻影响公司营业运转。对此,腾讯御见威胁谍报中心对处事器打单进攻举办了深入说明。 针对处事器进攻的打单病毒首要有两各人族,别离是GlobeImposter和Crysis。GlobeImposter是个打单病毒的一个田园属,初期首要通过垂纶邮件针对小我私人用户进攻,此刻为了得到更高收益,已将重点进攻方针转向企业处事器。Crysis家属最早可以追溯到16年3月,2017年开始一连撒播,一向针对Windows处事器举办进攻。 二、进攻影响 1.区域漫衍 统计受打单病毒进攻的企业地理漫衍,发明江苏、广东最多,其次是山东、北京。 2.行业漫衍 通过对受进攻的企业用户举办说明,遭随处事器打单进攻的行业首要为传统行业,别离为当局构造(26%)、家产企业(15%)和医疗机构(13%)。相对付信息安详建树较量成熟的互联网公司而言,这些偏传统的机构在信息安详上每每投入较少,安详运维缺陷较多。譬喻处事器没有实时修复高危裂痕,没有精采的安详类型等。 3.撒播趋势 处事器打单病毒一向呈一连增添的撒播阶段,Crysis家属和Globelmposter撒播均有上涨。尤其是进入了4月份之后,两家属撒播均有明明增添迹象。腾讯御见威胁谍报中心统计发明,自4月1日到4月18日,企业处事器被这两个打单病毒进攻的变乱增添了34%。 一旦受害企业处事器数据被加密,营业将无法正常运转,会更倾向于交付赎金。进攻企业比进攻平凡网民的收益要高许多,因此,将来较长的时刻里,针对企业处事器的打单病毒撒播会是黑客进攻的重点。 三、GlobeImposter样天职析 1.打单病毒整体加密进程 打单病毒行使了RSA+AES加密方法,加密进程中涉及两对RSA密钥(别离为黑客公私钥和用户公私钥,别离用hacker_rsa_xxx和user_rsa_xxx暗示这两对密钥)和一对AES密钥。黑客RSA密钥用于加密用户RSA密钥,用户RSA密钥用于加密AES密钥,AES密钥用于加密文件内容。 详细的加密流程: 打单病毒起首解码出一个内置的RSA公钥(hacker_rsa_pub),同时对每个受害用户,行使RSA天生公私钥(user_rsa_pub和user_rsa_pri),个中天生的密钥信息行使内置的RSA公钥(hacker_rsa_Public)举办加密后,做为用户ID。 在遍历体系文件,对切合加密要求的文件举办加密。对每个文件,通过CoCreateGuid天生一个独一标识符,并由该独一标识符最终天生AES密钥(记为file_aes_key),对文件举办加密。在加密文件的进程中,该独一标识符会通过RSA公钥(user_rsa_pub)加密后生涯到文件中。 黑客在收到赎金、用户ID和文件后,通过本身的私钥(hacker_rsa_pri)解密用户ID,可以获得user_rsa_pri,行使user_rsa_pri解密文件,就可以获得文件的file_aes_key,进而可以通过AES算法解密出原始文件。 部门打单病毒的加解密流程 下面临样本中行使的一些技妙本领举办说明。 2.加密字符解密算法 软件中的字符及内置的公钥等信息都以加密的方法生涯,加密行使的为AES算法,函数00409392为解密算法函数,函数包括5个参数,每个参数的寄义如下: 参数1:返回值,解密后的内容 参数2:返回值,解密后的内容的长度 参数3:解密key 参数4:解密key的长度 参数5:文件句柄,假如文件句柄不为空,就将解密后的内容写入到该文件句柄对应的文件中 对aes_crypt函数,行使mbedtls_aes_crypt_ecb举办AES解密操纵。 通过IDA的上下文交错引用,看到共有七处挪用了MyAESDecode函数举办解密内容,这七处挪用成果表明如下: 3.解码解除文件夹与解除后缀名 恶意样本在打单进程中会绕过包括某些非凡字符的文件夹,这些非凡的字符解码算法如下: 1)行使“CC0BE4F069F6AE6FFFCCBFD92CE736EE21792B858339D632F577268C2CDD384A”作为AESkey,解密00401158处硬编码的0x210巨细的数据内容,解密后的内容为硬编码的RSA公钥(hacker_rsa_pub)。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
