勒索病毒冲着企业服务器来了 CSO们怕了么？

　　【资讯】

　　一、背景

　　近期，针对Windows服务器攻击的勒索病毒持续传播，尤其是2018年年初国内数家机构服务器被GlobeImpsoter勒索病毒攻击，导致业务大面积瘫痪，这引起了大家对服务器安全的关注。

　　根据腾讯御见威胁情报中心监控，每周都有企业Windows服务器被勒索病毒攻击，服务器上的数据文件被加密，严重影响公司业务运转。对此，腾讯御见威胁情报中心对服务器勒索攻击进行了深入分析。

　　针对服务器攻击的勒索病毒主要有两大家族，分别是GlobeImposter和Crysis。GlobeImposter是个勒索病毒的一个老家族，初期主要通过钓鱼邮件针对个人用户攻击，现在为了获得更高收益，已将重点攻击目标转向企业服务器。Crysis家族最早可以追溯到16年3月，2017年开始持续传播，一直针对Windows服务器进行攻击。

　　二、攻击影响

　　1.地域分布

　　统计受勒索病毒攻击的企业地理分布，发现江苏、广东最多，其次是山东、北京。

　　2.行业分布

　　通过对受攻击的企业用户进行分析，遭到服务器勒索攻击的行业主要为传统行业，分别为政府机关(26%)、工业企业(15%)和医疗机构(13%)。相对于信息安全建设比较成熟的互联网公司而言，这些偏传统的机构在信息安全上往往投入较少，安全运维缺陷较多。例如服务器没有及时修复高危漏洞，没有良好的安全规范等。

　　3.传播趋势

　　服务器勒索病毒一直呈持续增长的传播阶段，Crysis家族和Globelmposter传播均有上涨。尤其是进入了4月份之后，两家族传播均有明显增长迹象。腾讯御见威胁情报中心统计发现，自4月1日到4月18日，企业服务器被这两个勒索病毒攻击的事件增长了34%。

　　一旦受害企业服务器数据被加密，业务将无法正常运转，会更倾向于交付赎金。攻击企业比攻击普通网民的收益要高很多，因此，未来较长的时间里，针对企业服务器的勒索病毒传播会是黑客攻击的重点。

　　三、GlobeImposter样本分析

　　1.勒索病毒整体加密过程

　　勒索病毒使用了RSA+AES加密方式，加密过程中涉及两对RSA密钥(分别为黑客公私钥和用户公私钥，分别用hacker_rsa_xxx和user_rsa_xxx表示这两对密钥)和一对AES密钥。黑客RSA密钥用于加密用户RSA密钥，用户RSA密钥用于加密AES密钥，AES密钥用于加密文件内容。

　　具体的加密流程：

　　勒索病毒首先解码出一个内置的RSA公钥(hacker_rsa_pub)，同时对每个受害用户，使用RSA生成公私钥(user_rsa_pub和user_rsa_pri)，其中生成的密钥信息使用内置的RSA公钥(hacker_rsa_Public)进行加密后，做为用户ID。

　　在遍历系统文件，对符合加密要求的文件进行加密。对每个文件，通过CoCreateGuid生成一个唯一标识符，并由该唯一标识符最终生成AES密钥(记为file_aes_key)，对文件进行加密。在加密文件的过程中，该唯一标识符会通过RSA公钥(user_rsa_pub)加密后保存到文件中。

　　黑客在收到赎金、用户ID和文件后，通过自己的私钥(hacker_rsa_pri)解密用户ID,可以得到user_rsa_pri，使用user_rsa_pri解密文件，就可以得到文件的file_aes_key，进而可以通过AES算法解密出原始文件。

　　部分勒索病毒的加解密流程

　　下面对样本中使用的一些技术手段进行分析。

　　2.加密字符解密算法

　　软件中的字符及内置的公钥等信息都以加密的方式保存，加密使用的为AES算法，函数00409392为解密算法函数，函数包含5个参数，每个参数的含义如下：

　　参数1：返回值，解密后的内容

　　参数2：返回值，解密后的内容的长度

　　参数3：解密key

　　参数4：解密key的长度

　　参数5：文件句柄，如果文件句柄不为空，就将解密后的内容写入到该文件句柄对应的文件中

　　对aes_crypt函数，使用mbedtls_aes_crypt_ecb进行AES解密操作。

　　通过IDA的上下文交叉引用，看到共有七处调用了MyAESDecode函数进行解密内容，这七处调用功能解释如下：

　　3.解码排除文件夹与排除后缀名

　　恶意样本在勒索过程中会绕过包含某些特殊字符的文件夹，这些特殊的字符解码算法如下：

　　1)使用“CC0BE4F069F6AE6FFFCCBFD92CE736EE21792B858339D632F577268C2CDD384A”作为AESkey，解密00401158处硬编码的0x210大小的数据内容，解密后的内容为硬编码的RSA公钥(hacker_rsa_pub)。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!