近日,深信服安全团队捕获到一起利用Trickbot下发Ryuk勒索病毒的攻击事件。Ryuk勒索病毒最早于2018年8月被安全研究人员披露,名称来源于死亡笔记中的死神。该勒索病毒运营团伙最早通过远程桌面服务等方式针对大型企业进行攻击。
Ryuk勒索病毒界面如下:
起初由于代码结构与Hermes勒索病毒十分相似,研究人员将Ryuk勒索事件归因于朝鲜的APT组织Lazarus。随后,国外安全团队发现了针对已经被TrickBot攻击的受害者的Ryuk勒索活动,由此关联出Ryuk勒索事件实为俄罗斯黑客组织GRIM SPIDER所为。
虽然TrickBot被称为银行木马,但其银行业务能力仅仅是其众多能力之一。它能够利用共享和MS17-010漏洞进行内网传播,并且与C2服务器通信以收集敏感数据和接收命令。一旦攻击者利用其下发Ryuk勒索软件,所有受到感染的设备文件都将被加密,造成不可估量的损害。
Trickbot银行木马进行了几次不同的迭代,本次攻击事件中深信服安全团队捕获到的木马功能如下:
经分析,其中的”TVjKa.exe”为Ruyk病毒文件,其余则为TrickBot木马,可以看到有系统进程存在大量不正常的外连行为:
排查其他未被勒索的主机,发现内网主机已经大量感染TrickBot木马,且植入时间为2018年12月22号,潜伏时间长达半年之久,一旦攻击者利用该木马全面下发勒索病毒,将给企业带来巨额损失:
1. 获取系统版本进行判断:
2. 线程中循环监控终止xchange相关进程及查找spooler相关服务进行删除:
3. 提升进程权限:
4. 获取进程的登录用户信息:
5. 查找"csrss.exe"、"explorer.exe"、"lsaas.exe"进程中的一个进行注入:
6. 提升注入进程的权限:
7. 生成AES密钥并使用RSA公钥进行加密:
8. 遍历磁盘,对文件进行加密:
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒防御
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。