Önsöz
2018, fidye yazılımı insidansının yüksek olduğu bir yıldır. Yüz (can) çiçek (bu) yarışan (ren) ve muhteşem (du) olarak tanımlanabilir. Fidye yazılımı ailesi çeşitleri ve aktarım yöntemleri sonsuza dek ortaya çıkıyor. Sözde siz şarkı söylüyorsunuz ve ben sahnede olacağım ve Çin'e doğrudan davranacağım Mezbahada yılın başından yıl sonuna kadar katledildi. Ancak, bu kadar çok fidye yazılımı virüsünün hangisi "güçlü" olduğunu herkes merak edecek mi?
1. Şantaj dünyasında hak edilen deniz kralı kimdir?
Sangfor EDR'nin güvenlik ekibi, 2018 yılının tamamı için verileri sentezledi (enfeksiyon vakaları, gerçek veriler daha fazla olacak) ve son fidye yazılımı yıllık deniz kralı: GandCrab fidye yazılımı, Çin takma adı Tuzlu Su Kanseri. Aşağıdaki resim, Xinjiang, Guangdong, Anhui, Qinghai, Jiangxi, Fujian, Zhejiang, Shanxi, Jilin, Guizhou, Tianjin, Beijing, Shanghai, Hebei, Shandong, Liaoning, Jiangsu, Sichuan vb. Dahil olmak üzere bu kanserin geçtiği alanı göstermektedir. Temelde Çin'in çoğunu kapsıyor ve doğu kıyısı en ciddi olanı.
GandCrab fidye yazılımı, 2018'de fidye yazılımı ailesindeki en aktif ailedir. Fidye yazılımı ilk olarak Ocak 2018'de ortaya çıktı. Yaklaşık bir yıl içinde beş ana sürüm güncelleme yinelemesi yaşadı. Bu fidye yazılımı virüs bulaşmasının yayılması Çeşitli yöntemler vardır ve kullanılan teknoloji sürekli olarak güncellenir.Fidye yazılımı, şifrelenmiş dosyaların çoğunun şifresini çözememesini sağlayan yüksek güçlü bir şifreleme algoritması kullanır.
Sangfor EDR güvenlik ekibi, bu fidye yazılımı virüsünü yaklaşık bir yıldır izledi ve analiz etti ve fidye yazılımı virüsünün ana iletim yöntemlerinin aşağıdaki gibi olduğunu buldu:
(1) RDP patlatma
(2) İstenmeyen posta gönderin, kötü amaçlı bağlantılar veya e-posta ekleri ekleyin, Word makroları aracılığıyla indirmek için PowerShell'i yükleyin, vb.
(3) İlgili web sitelerini etkileyin, güncellemeleri indirin veya kötü amaçlı programlarla birlikte verilen normal yazılımları indirin
(4) PowerShell, JS, VBS vb. Komut dosyalarını dosyasız bir şekilde yayınlamak ve yüklemek için RigEK, GrandSoft, FalloutExploit vb. Güvenlik açığı istismar kitlerini kullanın
(5) Kötü amaçlı indiriciler aracılığıyla fidye yazılımı indirin
(6) U disk yoluyla enfeksiyon
2. Neptün'ün varisi ve yenidoğan
Bir deniz kralı ve bir yengeç kralı olan GandCrab'ın birçok torunu vardır. Bunların arasında GandCrab 5.0.4 en cesur olanıdır ve saldırgan olmayı sever. "Kalelerin" çoğu bu prens tarafından inşa edilmiş ve GandCrab şantaj ailesinin fiili temsilcisi ve varisi olmuştur. .
Yakın zamanda, bu Yengeç GandCrab, GandCrab 5.0.9 adında başka bir bebek doğurdu. Son kardeşi GandCrab 5.0.5, son kardeşi GandCrab 5.0.4 ve son kardeşi GandCrab 5.0.3 idi.
Çin'de yengeçleri keşfeden ve "yengeç yiyen" ilk ekip olan Sangfor EDR güvenlik ekibi, her zaman ilk seferde derinlemesine raporlar yürütmüştür. Referans aşağıdaki gibidir:
Sonra, yeni doğan GandCrab 5.0.9'a odaklanacağım: Virüs çalıştıktan sonra, aşağıda gösterildiği gibi bir iletişim kutusu açılacaktır:
Dosyayı şifreledikten sonra, masaüstü aşağıda gösterildiği gibi görüntülenir:
Şifrelenmiş dosya, aşağıda gösterildiği gibi rastgele 10 harfli bir sonektir:
İlgili şantaj bilgileri aşağıdaki gibidir:
TOR fidye yazılımı sitesinin bilgileri aşağıdaki gibidir:
TOR fidye yazılımı sitesinin yazarının, bilgisayar korsanlarıyla sohbet etmek için sağ tarafta bir sohbet formu da sağladığını görebilirsiniz.
Analiz sayesinde, aşağıda gösterildiği gibi temelde önceki GandCrab5.0.5 ile aynı olduğu bulundu:
Giriş işlevi, karşılaştırma aşağıdaki gibidir:
Ana fonksiyon fonksiyonları aşağıdaki şekilde karşılaştırılır:
Ana fonksiyon fonksiyon kodu bölümünde, GandCrab 5.0.5'in ilk fonksiyon fonksiyonu aşağıda gösterildiği gibi boştur:
GandCrab'ın 5.0.9 sürümünde, yazar madde işaretli kutu bilgilerinin kodunu aşağıda gösterildiği gibi yazdı:
Aşağıda gösterildiği gibi bir iletişim kutusu açılır:
Onayla düğmesine tıkladıktan sonra, aşağıda gösterildiği gibi önceki GandCrab 5.0.5 işlemiyle aynı olan aşağıdaki şifreleme fidye işlemi yürütülecektir:
Aynı zamanda, ilgili sürüm numarası da değişti, karşılaştırma şu şekildedir:
Bu fidye yazılımının yazarı GandCrab 5.0.9'u yayınladıktan sonra, "onlar" ın yakında geri gelmelerini isteyen bir iletişim kutusu açıldı ...
Üçüncüsü, aile mutasyonunun geçmişi ve Aquaman'ın bulaşma şekli
Sangfor EDR'nin güvenlik ekibi bu fidye yazılımını inceliyor ve takip ediyor ve bu fidye yazılımını izleme yoluyla buldu. Ocak 2018'den itibaren, aşağıda gösterildiği gibi bir yıl içinde beş ana sürüm çeşidi deneyimledi:
Sürüm V1V2V3V4V5 ilk keşfedildi Ocak 2018 Mart 2018 Mayıs 2018 Temmuz 2018 Eylül 2018 Yayılma özellikleri Sorunsuz kötü amaçlı
Adware ve RIG
Kötü amaçlı ekleri e-postalara yaymak için GrandSoft Exploit Toolkit e-postaları, WORD makro yükleyen VBS komut dosyaları, CVE güvenlik açıklarını kullanan e-postalara kötü amaçlı ekler, spam web sitesi korsanlığı gibi e-postalara kötü amaçlı ekler, CVE güvenlik açıkları vb. Fidye para birimi Dash Dash bilinmiyor TOR ödeme sitesini kullan Son eki şifrelemek için TOR ödeme sitesini kullan GDCBCRABCRABKRAB rastgele dizesi
Başlıca sürümler arasında, V2.1, V4.3, vb. Gibi bazı küçük sürüm güncellemeleri olmuştur, özellikle V5 sürümünden sonra, çok sayıda küçük sürüm yinelemesi olmuştur ve bu küçük sürümlerin işlev kodları temelde benzerdir. , V5.0.1, V5.0.2, V5.0.3, V5.0.4, V5.0.5 gibi bu sefer en son sürüm V5.0.9 gibi. Bilgisayar korsanlarının gelecekte mutasyona uğrayacağına inanılıyor ...
Blackmail Sea King'in başlıca yayılma yöntemleri şu şekildedir:
(1) RDP patlatma
(2) Spam gönderin, kötü amaçlı bağlantılar veya e-posta ekleri ekleyin, Word makroları aracılığıyla indirmek için PowerShell'i yükleyin, vb.
(3) İlgili web sitelerini etkileyin, güncellemeleri indirin veya kötü amaçlı programlarla birlikte verilen normal yazılımları indirin
(4) PowerShell, JS, VBS vb. Komut dosyalarını dosyasız bir şekilde yayınlamak ve yüklemek için RigEK, GrandSoft, FalloutExploit vb. Güvenlik açığı istismar kitlerini kullanın
(5) Kötü amaçlı indiriciler aracılığıyla fidye yazılımı indirin
(6) U disk yoluyla enfeksiyon
Ancak en klasik, en yaygın kullanılan ve en basit ve en kaba olanı, klasik yayılma modeli olan RDP patlatmadır:
1. RDP patlatma istilası
Bilgisayar korsanı ilk olarak ana bilgisayarlardan birini RDP ile patlattı ve ana bilgisayarın kontrolünü başarıyla ele geçirdikten sonra, süreç yönetimi araçları, intranet tarama araçları, şifre yakalama araçları, kaba kuvvet kırma araçları ve fidye yazılımı dahil olmak üzere bir dizi bilgisayar korsanı aracı yükledi. Bu araçlardan bazılarının anti-yazılım tarafından kontrol edilmesi ve öldürülmesi kolay olduğundan, bilgisayar korsanları bunları şifrelemiş ve sıkıştırmıştır ve sıkıştırma parolası "123" dür.
2. Yazılım önleme sürecini sonlandırın
Aracı yükledikten sonra, bilgisayar korsanı "çalışmaya" başladı. Birincisi, anti-virüs yazılımını ortadan kaldırmak ve anti-virüs sürecini sona erdirmek için süreç yönetimi aracı "ProcessHacker" ı kullanmaktır.
3. Intranet taraması
Ardından, bilgisayar korsanı "sonuçları genişletmeye" ve daha fazla intranet ana bilgisayarını kontrol etmeye çalıştı. Daha fazla potansiyel hedef bulmak için intranet tarama araçlarını "KPortScan", "nasp", "NetworkShare" kullanın.
4. Şifreyi alın
Aynı zamanda, yerel şifreyi almak için "mimikatz" ve tarayıcı şifresini almak için "WebBrowserPassView" kullanın. Parolalar genellikle intranette aynı olduğundan, yakalanan parolalar büyük olasılıkla diğer ana bilgisayarlarda doğrudan oturum açabilir.
5. Kaba kuvvetle çatlama
Sonraki adım, dahili ağ ana bilgisayarında RDP patlatması gerçekleştirmek için "DUBrute" kullanmaktır.
6. Fidye yazılımı çalıştırın
HW, fidye yazılımı virüs gövdesi HW.5.0.2.exe ve bir metin dosyası HW.txt içerir.HW.txt, dosyasız fidye yazılımı için powershell komutlarını kaydeder. Bilgisayar korsanları, fidye yazılımı virüsünü doğrudan çalıştırabilir veya fidye için powershell komutlarını çalıştırabilir.
4. Sea King nasıl savunulur ve keskin nişancı yapılır?
Zaten fidye yazılımı deneyimi olan kullanıcılar için, şu an için bir şifre çözme aracı olmadığından, virüslü ana bilgisayarın bağlantısını mümkün olan en kısa sürede kesmeleri önerilir.
Sangfor, kullanıcılara bu şantaj saldırısını önlemek için virüs tespiti ve savunma önlemlerini mümkün olan en kısa sürede tamamlamalarını hatırlatıyor.
Virüs tespiti ve öldürme
Sangfor, kullanıcılar için ücretsiz anti-virüs araçları sağlar. Algılama ve anti-virüs için aşağıdaki araçları indirebilirsiniz:
Virüs savunması
1. Ana bilgisayarı zamanında düzeltin, boşlukları giderin ve en son virüs veritabanını yükseltin.
2. Önemli veri dosyalarının düzenli olarak yerel olmayan yedeklerini gerçekleştirin.
3. Hesap parolasını değiştirin, güçlü bir parola belirleyin ve birleşik bir parola kullanmaktan kaçının çünkü birleşik bir parola birinin güvenliğinin ihlal edilmesine ve birçok kişinin zarar görmesine neden olur.
4. GandCrab fidye yazılımı RDP'yi (Uzak Masaüstü Protokolü) kullanacaktır.İş için RDP gerekli değilse, RDP'yi kapatmanız önerilir. Bu tür olaylar meydana geldiğinde, çoğalmayı önlemek için 3389 gibi bağlantı noktalarını engellemek için Sangfor güvenlik duvarı veya terminal algılama yanıt platformunun (EDR) mikro izolasyon işlevini kullanmanız önerilir!
5. Sangfor güvenlik duvarı ve terminal algılama yanıt platformunun (EDR) tümü patlama önleme işlevine sahiptir Güvenlik duvarı bu işlevi etkinleştirir ve 11080051, 11080027, 11080016 kurallarını etkinleştirir ve EDR, patlama önleme işlevinin savunmasını sağlar.
6. Kimlik avı saldırılarını önlemek için tanımlanamayan e-postalara tıklamayın.
7. Bilinmeyen yazılımları internetten istediğiniz zaman indirmeyin.Bu tür yazılımlar virüsleri gizleyebilir.
8. U disk yoluyla çapraz enfeksiyonu önlemek için U disk kontrolünün iyi yapılması gerekir.
Son olarak, korumayı güçlendirmek için şirketlerin tüm ağ üzerinde bir güvenlik kontrolü ve antivirüs taraması yapması önerilir.
* Yazar: Clairvoyance Security Labs, lütfen FreeBuf.COM'dan belirtin