本帖最后由 腾讯电脑管家 于 2020-12-3 10:46 编辑
一、概述Medusalocker勒索团伙于2019年10月开始活跃,国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币(BTC)。随着文件加密+数据窃取的勒索模式流行,该团伙会在勒索信中威胁:“已收集了高度机密的资料,不付赎金就公之于众”。
腾讯安全威胁情报中心在进行例行高危风险样本排查过程中,发现该勒索团伙使用的样本托管资产(IP:45.141.84.182),对该资产其进行分析后发现,Medusalocker团伙除使用加密模块对文件进行加密外,其武器库中还包括一系列渗透过程中使用的相关工具和窃密木马。
有趣的是,分析后发现区别于传统的窃密木马,Medusalocker勒索团伙除使用CobaltStrike窃密木马外。还对商业远程控制软件RemoteUtilities(类Teamviwer软件)进行了破解重打包(系对官方版本的窗口、托盘、模块完整校验位置进行Patch)。由于RemoteUtilities属于正规商业远程控制软件,如果被用于窃密监听,会更加隐蔽,安全软件通常并不将此类商业远控软件报告为病毒。同时,由于修改版本木马与官方版本程序代码仅存在少量差异,也将比一般窃密木马具备更好的免杀效果。
近年来,勒索病毒从广撒网模式到针对性特定企业的精准打击,从单纯的数据加密演变为数据窃取加勒索。攻击者入侵企业内一台资产后,通常并不立刻进行加密操作。而是通过长时间的扫描探测,窃取机密信息后,再大面积对企业实施加密勒索。若企业使用备份数据进行还原,勒索团伙则威胁公开受害企业的机密数据继续敲诈。这对企业带来经济和社会声誉的双重损失。因此,我们提醒各政企机构高度警惕勒索病毒的攻击。 Medusalocker勒索病毒攻击者留下的勒索信
受害者在安全论坛发布的求助帖
腾讯电脑管家、腾讯安全T-Sec终端安全管理系统(御点)均可查杀拦截Medusalocker勒索病毒,腾讯安全针对Medusalocker勒索病毒的完整响应清单如下: | | | | | 1)Medusalocker勒索团伙相关IOCs已入库。 | | 1)Medusalocker勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts | | | 基于网络流量进行威胁检测与主动拦截,已支持: 1)Medusalocker勒索网络相关联的IOCs已支持识别检测; 2)支持检测拦截Medusalocker团伙发起的爆破攻击行为。 有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw | 腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) | 1)已支持查杀Medusalocker相关联的利用模块,勒索模块; 2)已支持检测拦截Medusalocker发起的爆破攻击行为。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp | 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) | 1)已集成无损检测POC,企业可以对自身资产进行远程检测。 | | 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html | | | 基于网络流量进行威胁检测,已支持: 1)Medusalocker团伙相关联的IOCs已支持识别检测; 2)Medusalocker团伙发起的爆破攻击行为已支持检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta | | 1)企业终端管理系统可查杀Medusalocker团伙相关联的利用模块,勒索模块; 2)企业终端管理系统已支持检测拦截恶意爆破攻击行为。 3)企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html |
二、详细分析魔改RemoteUtilities远程控制软件RemoteUtilities是一款可免费,可商用,能够自建中继服务器的远程控制软件(类似于Teamviewer、向日葵等工具),该软件支持Windows、Mac、Linux、IOS、Android等多个平台版本。该软件服务端(Agent)运行后会弹出明显的服务端窗口信息,托盘展示信息等,一般用于管理员对多台设备进行统一的操作和管理。Medusalocker勒索病毒团伙通过对RemoteUtilities进行破解重打包后,将其作为窃密木马使用,达到植入目标系统持久化控制的目的,其修改流程主要有下文中分析中的多个步骤。 RemoteUtilities远控软件官网介绍
正常RemoteUtilities被控端(Agent)运行后的界面
RemoteUtilities精简破解重打包RemoteUtilities正常被控端安装后后会存在大量模块文件,修改版本安装后后仅使用3个模块(移除非远程控制必须组件以外的其他模块),精简破解后重打包的版本安装完成后,会添加计划任务启动,进而实现持久化的远程控制。
下图上为完整版RemoteUtilities被控端安装文件,下为病毒修改版安装文件:
计划任务将自动启动病毒远控。
RemoteUtilities-Patch-1:通过对官方版本被控端的ShowWindow函数调用进行nop处理,导致官方版本被控端启动时的所有窗口界面消失,从而实现无交互界面被远程控制,系统托盘、消息界面全部被隐藏: 官方版本完整代码:
修改后病毒版本代码:
RemoteUtilities-Patch-2:通过对官方版本被控端的Terminateprocess函数调用进行nop处理,导致官方被控端相关快捷退出方式失效,从而让攻击者稳定持久的远程控制,持续进行窃密活动。
官方版本完整代码:
修改后病毒版本代码:
RemoteUtilities-Patch-3:官方版本远程控制软件在运行后首先会对其安装目录下的所有模块完整性校验,当发现安装模块缺失后则直接会退出。病毒对其代码进行patch,使官方远控软件被控端校验流程被强行跳过。
官网软件模块完整性校验流程
官方版本完整代码:
修改破解后病毒版本代码:
RemoteUtilities-Patch-4:官方程序每次接受命令或启动时会监测程序安装路径下rfuslient.exe模块,并将其执行起来,如果该文件不存在,则弹出一个系统错误对话框,随后服务端直接退出。病毒对其相关路径参数进行patch(破解),导致该处校验流程失效。 file:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps14.jpg
被绕过的模块完整性校验提示窗口,正常流程下服务端执行到此处代码将提示错误直接退出。
file:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps15.jpg
官方版本完整代码:
file:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps16.jpg
破解修改后病毒版本代码:
file:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps17.jpg
下图为控制端界面,攻击者向攻击目标植入RemoteUtilities破解修改版本后可完全控制受控机器,可执行远程Shell、屏幕监控操作、语音监控操作、远程文件操作、RDP登录等等。
file:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps18.jpg
加壳的CobaltStrike
Medusalocker勒索病毒团伙同时还使用了加壳的CobaltStrike窃密木马,该版本窃密木马运行后首先以挂起方式启动系统白进程mstsc.exe,随后将Beacon恶意payload注入到mstsc.exe进程内,进而实现系统进程内执行远程控制恶意功能。其C2信息使用0x2E异或方式简单加密,解密后得到C2地址如下: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space
file:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps19.jpg
解密后的CobaltStrike配置信息
file:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps20.jpg
勒索辅助工具包
在该地址内,也发现了Medusalocker勒索团伙以往常用的工具包。包括本地系统口令窃取工具、浏览器密码窃取工具、局域网端口扫描工具、网络共享资源扫描工具、PsExec命令执行工具、Ark内核对抗工具、两个bat脚本文件等,这些工具在后期渗透局域网其他主机过程中使用。 file:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps21.jpg
file:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps22.jpg
Bat脚本主要功能有以下部分: [size=10.5000pt]1.EnableLUA,避免系统提示以管理员权限执行等问题; [size=10.5000pt]2.对系统内粘滞键、放大镜、系统帮助、Windows辅助工具管理器等程序进行映像劫持,侧面印证该团伙可能对系统内该系列工具位置进行后门劫持利用; [size=10.5000pt]3.开启3389端口并允许远程控制,关闭RDP相关的远程登录安全策略项; [size=10.5000pt]4.删除系统卷影,删除系统备份等。 file:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps23.jpg
Medusalocker勒索病毒Medusalocker勒索病毒出现于2019年10月,2019年11月腾讯安全检测到该病毒开始在国内活跃,该病毒主要通过弱口令爆破方式进行传播,由于该勒索病毒加密使用RSA+AES的方式对文件进行加密,目前尚无有效的解密工具,被加密后的文件末尾组成部分如下。 1.使用硬编码RSA公钥加密后的AES文件密钥数据; 2.使用硬编码RSA公钥加密后的后缀信息数据; 3.被加密文件原始明文长度0x0000000000000018; 4.文件后缀明文长度0x00000014; 5.AES密钥原始长度0x0000002C; 6.1、2部分密文长度0x00000200; 7.0x0000001标记;
本次发现的变种版本 Medusalocker加密完成后添加.ReadInstructions扩展名后缀,留下名为Recovery_Instructions.html的勒索文件,攻击者使用的勒索邮箱为asaphelper@protonmail.com,asaphelper@firemail.ccfile:///C:\Users\bean\AppData\Local\Temp\ksohtml10668\wps24.jpg
三、安全建议腾讯安全专家建议企业用户参考以下操作,以提升系统安全性: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、建议终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统(御点、https://s.tencent.com/product/yd/index.html)。腾讯御点具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
IOCsMD5: 81f327ba23b03e261a0bcb3b4be3ffb4 860cdd118f68793a680ad4d22c43619a dbffcc741c54ae7632fb2807c888bdfe 40e85653abe687ddfd95b67a5f5dd452 bb62cb286e2386da92837a37d0ec3445 39c2a273de3f1eee2dd6e567a00f1137 URL: hxxp://45.141.84.182/Build.exe(魔改RemoteUtilities) hxxp://45.141.84.182/Build1.exe/ hxxp://45.141.84.182/beacon.exe(加壳的CobaltStrike) hxxp://45.141.84.182/64x.exe hxxp://45.141.84.182/run.exe hxxp://45.141.84.182/cb.exe hxxp://45.141.84.182/1.zip(勒索工具包) hxxp://45.141.84.182/AN_UPD.exe(Medusalocker勒索病毒) C2: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space IP: 45.141.84.182 勒索邮箱: asaphelper@protonmail.com asaphelper@firemail.cc 勒索平台暗网地址: hxxp://gvlay6u4g53rxdi5.onion/18-oWREq832SIH6V6yoKU1Z3fMRYR5wmpR0-cvxencen8tpja5kxwsd12had3lurjur7
|