2020年6月,巴西的电力公司Light S.A被黑客勒索1400万美元的赎金,AppGate的安全研究人员分析认为是Sodinokibi勒索软件。Sodinokibi可在RaaS(勒索软件即服务)模式下使用,它可能由与Pinchy Spider(即GandCrab勒索软件背后的组织)有联系的威胁者操纵。同时,研究人员还发现该软件可以通过利用Windows Win32k组件中CVE-2018-8453漏洞的32位和64位漏洞来提升特权。此外,该勒索软件系列没有全局解密器,这意味着需要攻击者的私钥才能解密文件。
2019年4月28日,笔者拿到了这款勒索病毒最初始版本的病毒样本,通过对病毒样本进行深度的逆向分析,发现样本中有很多功能与GandCrab勒索病毒非常相似,也许是一种职业的嗅觉,当时就有一种预感,这款勒索病毒后面应该会流行起来,然后笔者对病毒样本进行了详细的溯源分析,主要从病毒代码、传播渠道两个重要的维度进行了分析溯源,确认了这款勒索病毒应该与GandCrab勒索病毒有关联,而且背后的运营团队有可能是同一伙人,或是此前GandCrab勒索病毒黑客组织的一部分人出来重新运营了Sodinokibi,于是笔者称这款勒索病毒为GandCrab的“接班人”,详细的报告,可以参考公众号2019年6月发布的文章《威胁情报:揭密全球最大勒索病毒GandCrab的接班人》,2019年5月24日,国外安全研究人员首次在意大利发现了Sodinokibi的病毒样本,笔者将这个样本与此前发现的病毒样本进行对比,发现样本的相似度极高,可以认定国外安全研究人员发现的病毒样本就是2019年4月笔者分析的那个病毒样本,关于这款勒索病毒更多的信息,可以参考笔者之前的文章,里面都有详细的介绍,本文主要讲解一下这款勒索病毒的相关攻击姿势。
通过跟踪分析,发现这款勒索病毒确实非常活跃,病毒样本不断变种升级,攻击手法也越来越多,分享这款勒索病毒黑客组织发动攻击的一些常用姿势:
(1)通过钓鱼邮件,伪装成Flash安装程序,如下所示:
(2)冒充工商银行的钓鱼邮件,伪装成银行数字证书程序,如下所示:
(3)冒充法院的钓鱼邮件,伪装成法院文档的程序,如下所示:
(4)通过人工扫描、RDP爆破攻击方式,传播Sodinokibi勒索病毒,如下所示:
(5)通过钓鱼邮件,然后利用JS/PS脚本等无文件攻击方式,传播Sodinokibi勒索病毒,如下所示:
从上面这些攻击案例可以看出Sodinokibi勒索病毒在早期的传播攻击方式都比较单一,都是通过单一的攻击手法,直接传播Sodinokibi勒索病毒,进行加密勒索,传播攻击方式和勒索病毒信息,如下所示:
随着勒索攻击的演变,“双重”勒索或“三重”勒索模式的逐渐流行,这种单一的攻击模式显然已经不能达到要求,需要使用多种攻击手法相结合的方式进行攻击,而有还需要利用其他恶意软件监控盗取企业的核心数据等,分享一个Sodinokibi勒索病毒的攻击案例,如下所示:
黑客组织通过前期的钓鱼邮件,给受害者安装木马,然后通过木马安装CS工具,再利用CS进行横向的渗透感染,获取到企业的域或服务器等相关权限、RDP登录凭证信息等,再通过凭证信息登录到企业的多台主机上,安装Sodinokibi勒索病毒,整个攻击过程可能会持续很长一段时间,当获取到企业的重要数据之后,最后再安装勒索病毒加密企业数据。
上面仅仅是介绍了一个该勒索病毒最近的某次攻击活动,其实还可以通过其他各种不同的恶意软件或攻击方式组合来进行相似的勒索攻击活动,从上面的攻击活动可以很清楚的发现,这款勒索病毒的攻击方法在前期和后期的不同,前期主要通过单一的攻击方式,直接安装勒索病毒,后期主要通过组合多种不同的攻击方式以及其他各种不同的恶意软件,盗取企业数据之后,再安装勒索病毒,随着攻索攻击的发展,Sodinokibi勒索病毒黑客组织也加入到了BGH猎狩活动当中,勒索攻击已经逐步向“定制化”和“APT定向攻击”模式发展。
关于勒索病毒更多的信息,可以参考公众号《勒索病毒专题报道》,你想要了解的基本都在里面。
公司应对网络攻击行为,可采取的保护内网信息安全的措施有哪些?
大势至电脑文件防泄密系统(下载地址: www.dashizhi.com/products_technology/products/13.html" style="border: 0px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-variant-numeric: normal; font-variant-east-asian: normal; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: 21px; font-family: "Microsoft YaHei"; vertical-align: baseline; color: rgb(0, 0, 238); text-decoration-line: underline; cursor: pointer; widows: 1; background-color: rgb(255, 255, 255);">https://www.dashizhi.com/products_technology/products/13.html)是一款保护电脑文件安全、严防企业商业机密外泄的软件产品。系统主要从三个维度进行管理,即USB存储设备控制、上网行为控制、操作系统控制,从而构建立体化、全方位信息安全防护平台。
大势至电脑文件防泄密系统可以禁止一切USB存储设备连接电脑拷贝资料,不控制鼠标、键盘、U盾等USB非存储设备,还可以灵活管控光驱、软驱、红外、蓝牙、随身wifi、聊天软件、网盘、邮箱、注册表、应用程序、网卡、随身wifi等多项功能。
大势至电脑文件防泄密系统安装和操作十分简单快捷,各项功能划分精细齐全,控制精准有效,目前已成功应用百万终端,积累了丰厚的行业经验。系统分为两个版本,即单机版和网络版,单机版逐一管理,网络版有管理端,可以统一管理。
一、简约使用教程
大势至电脑文件防泄密系统安装和部署非常简单,控制哪台电脑就在哪台电脑安装,大部分功能都在软件界面上,直接勾选需要控制的项目即可,立即生效。
单机版设置完毕后点“后台运行”,每次开机自动隐藏运行。
网络版分管理端和客户端,服务器安装管理端,被控电脑安装客户端,全部设置都在管理端操作,客户端在电脑开机后自动运行。
1、安装和注册。
双击安装程序,按提示操作即可。安装完成后,按热键唤出界面,点击顶部“注册授权”,将机器码复制给大势至公司,大势至公司回传序列号。网络版只在管理端注册,试用版不需要注册。
单机版快捷键:alt+f2或ctrl+alt+2
网络版管理端快捷键:alt+f1或ctrl+alt+1
网络版客户端快捷键:alt+f2或ctrl+alt+2
注:如果软件退出,则快捷键失效。
2、设置特定U盘。
插上U盘——勾选“只允许特定USB存储设备使用”,点击“添加特定U盘”,在弹出的窗口中将左侧序列号选中(插上U盘后自动显示),添加至右侧列表,然后保存。
U盘列表可批量导入或导出。勾选“只让读取白名单的USB存储设备”表示这些许可的U盘只允许读取,禁止写入。
3、设置禁止/允许运行的程序。
勾选“禁止打开的程序”,点击“+/-”,在弹出的窗口中输入关键词,例如“微信”,添加保存之后,打开微信程序,会立刻关闭。设置“只允许打开的程序”方法相同。添加关键词时可选择“普通”或“例外”,“普通”表示拦截,“例外”则表示放行。
如果不确定关键词,可以通过右侧“放大镜”来确定。打开要禁止的程序,拖动放大镜到程序窗口,自动读取程序特征,点击“确定”,然后“保存”。
4、设置特定QQ号/旺旺登陆。
勾选“只允许特定QQ登录”,点击“+/-”,在弹出的小窗口中输入QQ号并点击添加,后保存即可。
只允许特定旺旺登录的设置方法相同。
5、设置禁止/允许打开的网站。
勾选“禁止打开的网页”,点击“+/-”,在弹出的窗口中输入要禁止打开的网站名称,例如禁止访问百度,只需输入“百度”,点击“添加”,保存即可。设置“只允许打开的网页”方法相同。
6、禁止网线直连传文件。
勾选“只允许访问的内网白名单MAC地址表”,点击“+-”,添加允许本机访问的MAC地址列表,添加后本机就只能访问白名单的MAC地址,即阻止外来电脑通过网线直连传输数据了。
7、修改密码。
1)单机版。
界面右下角“登录用户设置”——双击账号和密码即可修改。
2)网络版-管理端。
界面顶端——操作软件——登录用户设置——双击账号和密码即可修改。
3)网络版-客户端。
管理端控制列表——双击被控电脑(首次需设置策略名称)——右下角“登录用户设置”——双击账号和密码即可修改。
注:密码仅支持英文和数字,区分大小写。
8、忘记密码。
1)单机版。热键唤出密码框,点击“忘记密码”,输入用户名、注册号、新密码即可。
2)网络版-管理端。热键唤出密码框,点击“忘记密码”,输入用户名、注册号、新密码即可。
3)网络版-客户端。通过管理端双击客户端列表,点“登录用户设置”可以查看到账号和密码。
9、卸载软件。
1)单机版。点击软件界面右下角“卸载软件”或点击软件界面右上角“操作软件”——“卸载软件”。
2)网络版-管理端。点击软件界面右下角“卸载软件”或点击软件界面右上角“操作软件”——“卸载”。
3)网络版-客户端。在管理端,选中被控电脑,点击管理端界面右上角“操作软件”——“卸载客户端”;或同单机版卸载。
