3389掃描器(3373掃描)

近日，有安全團(tuán)隊(duì)捕獲到針對(duì)國(guó)內(nèi)企業(yè)的新型勒索病毒攻擊事件，攻擊者通過爆破獲得跳板機(jī)權(quán)限后，利用全套黑客工具包對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行滲透，人工投放勒索病毒進(jìn)行加密，該勒索病毒加密郵箱與后綴為硬編碼的字符串“.[DeAdmin@cock.li].DEADMIN”，并在勒索信息文件中自命名為DEADMIN LOCKER，該勒索暫無公開解密工具。

加密完成后在桌面及加密根目錄釋放勒索信息文件

病毒名稱：DEADMIN LOCKER

病毒性質(zhì)：勒索病毒

影響范圍：目前國(guó)內(nèi)已有感染案例

危害等級(jí)：高危

傳播方式：通過社會(huì)工程、RDP暴力破解入侵，并使用黑客工具包內(nèi)網(wǎng)滲透

病毒描述

該勒索病毒主要利用全套黑客工具包對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行滲透，人工投放勒索病毒進(jìn)行加密。在被勒索的主機(jī)上獲取到攻擊者留下的全套黑客工具包，包含從密碼收集到遠(yuǎn)程登錄等一系列內(nèi)網(wǎng)滲透工具，可謂是一應(yīng)俱全，其中包含較為小眾的AutoMIMI、Lazy、rdp_con、gmer等工具，甚至包含名為!RDP的快捷方式，用于啟動(dòng)本地遠(yuǎn)程桌面連接：

黑客工具包包含：

密碼抓取：AutoMIMI、mimi、netpass64.exe、Lazy

內(nèi)網(wǎng)掃描：masscan、!PortScan、Advanced_Port_Scanner、NetworkShare

密碼爆破： NLBrute

遠(yuǎn)程工具：pxec、!RDP、rdp_con

反殺軟工具：gmer、PCHunter64、PowerTool、PowerTool_64、ProcessHacker64

勒索病毒入侵攻擊流程：

1、 本地提權(quán)后，使用mimikatz抓取主機(jī)密碼，在此過程中，黑客寫了自動(dòng)化腳本launch.vbs來簡(jiǎn)化抓取密碼的步驟。

2、 黑客將抓取到的密碼加入后續(xù)的爆破字典中，原因是管理員一般會(huì)將多個(gè)服務(wù)器的密碼設(shè)置成相同的，將本機(jī)密碼加入字典，可以增大爆破的成功率。

3、使用端口掃描器掃描內(nèi)網(wǎng)中存活的IP，并篩選開放了445和3389端口的主機(jī)。

4、對(duì)于開放了3389端口的主機(jī)，黑客直接使用NLBrute進(jìn)行爆破用戶名和密碼。

5、對(duì)于只開放了445端口的主機(jī)，黑客通過爆破的方式獲取主機(jī)的賬號(hào)密碼。

6、然后使用pxec上傳腳本至目標(biāo)主機(jī)并運(yùn)行，開啟RDP服務(wù)。

7、獲取到以上爆破成功的主機(jī)后，使用rdp_con工具進(jìn)行批量連接。

RDP連接到受害主機(jī)后，黑客會(huì)上傳一系列反殺軟工具，kill殺毒軟件，最后運(yùn)行勒索病毒進(jìn)行勒索，至此，整個(gè)勒索入侵的流程完成。

勒索病毒詳細(xì)分析

1、勒索病毒文件使用UPX加殼，運(yùn)行后首先調(diào)用了Winexec執(zhí)行命令行刪除磁盤卷影，用于防止用戶恢復(fù)數(shù)據(jù)：

2、關(guān)閉如下服務(wù)，避免影響加密：

vmickvpexchange、vmicguestinterface、vmicshutdown、vmicheartbeat、vmicrdv、storflt、vmictimesync、vmicvss、MSSQLFDLauncher、MSSQLSERVER、SQLSERVERAGENT、SQLBrowr、SQLTELEMETRY、MsDtsServer130、SSISTELEMETRY130、SQLWriter、MSSQL、SQLAgent、MSSQLServerADHelper100、MSSQLServerOLAPService、MsDtsServer100、ReportServer、TMBMServer、postgresql-x64-9.4、UniFi、vmms、sql-x64-9.4、UniFi、vmms

3、遍歷進(jìn)程，結(jié)束下列進(jìn)程，防止進(jìn)程占用文件影響加密：

sqlbrowr.exe、sqlwriter.exe、sqlrvr.exe、msmdsrv.exe、MsDtsSrvr.exe、sqlceip.exe、fdlauncher.exe、Ssms.exe、sqlrv.exe、oracle.exe、ntdbsmgr.exe、ReportingServecesService.exe、fdhost.exe、SQLAGENT.exe、ReportingServicesService.exe、msftesql.exe、pg_ctl.exe、postgres.exe、UniFi.exe、sqlagent.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesctoprvice.exe、ocautoupds.exe、agntsvc.exe、agntsvc.exe、agntsvc.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcorervice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、erbird.exe、visio.exe、winword.exe、wordpad.exe

4、生成密鑰，使用RSA算法加密AES密鑰，再使用AES算法加密文件：

5、在桌面創(chuàng)建一個(gè)勒索信息TXT文件，然后通過遍歷在每個(gè)加密文件的根目錄下釋放一個(gè)勒索信息TXT文件：

6、遍歷磁盤進(jìn)行加密，并且對(duì)C盤下的目錄單獨(dú)進(jìn)行判斷，跳過系統(tǒng)目錄：

7、加密完成后進(jìn)行自刪除：

解決方案

針對(duì)已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶，由于暫時(shí)沒有解密工具，建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離。在此，提醒廣大用戶盡快做好病毒檢測(cè)與防御措施，防范該病毒家族的勒索攻擊。

本文內(nèi)容由 曲速未來 (WarpFuture.com)安全咨詢公司整理編譯，轉(zhuǎn)載請(qǐng)注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發(fā)安全、智能合約開發(fā)安全等相關(guān)區(qū)塊鏈安全咨詢服務(wù)。

（作者：曲速未來安全區(qū)，內(nèi)容來自鏈得得內(nèi)容開放平臺(tái)“得得號(hào)”；本文僅代表作者觀點(diǎn)，不代表鏈得得官方立場(chǎng)）