Блог 360 Total Security

GlobeImposter использует новые способы для распространения в глобальном масштабе.Вот основные меры предотвращения заражения программами-вымогателями

В последнее время было много кибератак с программами-вымогателями. Как только пользователи заражены программами-вымогателями, почти невозможно расшифровать его техническими средствами, пользователям необходимо отказаться от данных или заплатить выкуп за расшифровку. Поэтому, в отличие от обычных мер предотвращения других вирусных троянов, для программ-вымогателей, предотращение более важно, поскольку после заражения потеря почти непоправима, хотя бы текущая программа-вымогатель была удалена, тоже нет любой смысла.

Сегодня мы хотели бы кратко рассказать о методах атак, используемых популярным программами-вымогателями в Интернете, и надеемся, что пользователи могут принять меры предосторожности.

Шаг 1

С передачей цели программ-вымогателей, метод распространения также меняется. В первые годы, когда обычные пользователи были основной целью, распространенный способ программ-вымогателей был похож на традиционный троянский вирус, который в основном использовал фишинговые электронные письма, обмен мгновенными сообщениями (IM) и индуцированную загрузку. Хотя такие методы распространения имеют высокую степень автоматизации и большой диапазон влияния, но соответствующая уместность низкая. Кроме того, большинство обычных пользователей предпочитают напрямую отбрасывать зашифрованные данные из-за низкой важности данных, что приводит к низкому уровню успеха к выкупу.

За последние два года программа-вымогатель превратилась в более целенаправленные атаки на разные серверы, поэтому первоначальный режим распространения больше не применим к атакам на серверы. Соответственно, взлом RDP-слабого пароля стал основным способом атак.

Хакеры, которые используют этот метод для атак, сначала используют сетевые инструменты для беспрецедентного сканирования в Интернете, чтобы найти серверы с доступными портами, открытыми в Интернете. После обнаружения инструмент словаря можно использовать для взлома пароля входа в систему, соответствующего порту. Если пароль пользователя, установленный администратором, недостаточно силен, хакер может легко взломать и успешно войти в систему за короткое время.

В процессе обработки сообщений пользователей 360 Security Center зафиксировал случаи, когда хакеры использовали Intercepter-NG, NetworkShare и другие инструменты сетевого сканирования для проведения первоначальных атак сетевого сканирования.

В сообщениях пользователей 360 Security Center получил запрос от технологической компании, что на нескольких серверах их компании в то же время были атакованы программами-вымогателями, которые не могли нормально работать, а потеря данных была серьезной.

После нашего анализа серверы компании первоначально были открыты в Интернете и только один финансовый сервер. Именно из-за того, что на сервере запущен удаленный рабочий стол и установлен слабый пароль для входа в систему, в конце концов приводит к тому,что внешний подозрительный IP (Согласно публичным информационным запросам, он может поступать из Вьетнама) взломали пароль для входа и успешно вошли в учетную запись администратора :

Шаг 2

После завершения вышеуказанных шагов злоумышленник не остановится при текущих результатах. Вместо этого он будет использовать текущий вход в систему в качестве трамплина для дальнейшего вторжения на другие компьютеры в той же локальной сети.. На этом этапе хакеры в основном используют три метода:

Во-первых, различные инструменты сетевого сканирования, упомянутые нами на первом этапе, одинаково применимы к локальной сети. Поэтому на этом этапе упомянутый выше инструмент также может быть использован для вторичного сканирования вторжений в локальной сети.

Во-вторых, на основании прошлых случаев 360 Security Center неоднократно фиксировал в таких атаках различные типы инструментов для обмана пароля, таких как mimikatz и WebBrowserPassView. Такие инструменты в основном используются для получения паролей, хранящихся локально на машине, тем самым значительно увеличивая возможность успеха вторжения других машин.

В-третьих, было много случаев использования уязвимостей для вторжения в сеть и запуска программ-вымогателей в последнее время, таких как ранее обнаруженные эксплойты JBOSS (CVE-2017-12149, CVE-2010-0738), эксплойты WebLogic (CVE) -2017-10271), Томкат и тд.

Кроме того, пользователям необходимо уделять больше внимания недавней вспышке программ-вымогателей. После анализа это событие является последним вариантом семейства GlobeImposter, Ox4444. Этот вариант практически не отличается от кода основной функции из предыдущих вариантов этого семейства

Однако, проанализировав систему пользователей, мы обнаружили, что ядром этого варианта не является программа-вымогатель сама, а способ вторжения. В распространении этого варианта впервые был использован инструментарий для ShadowBrokers.

Можно видеть, что, хотя уязвимость исправлена,но хакеры не позволят избежать возможного успешного вторжения.

В случае, упомянутом выше, когда мы продолжаем анализировать другие машины, мы обнаруживаем, что большинство этих компьютеров напрямую не подключены к Интернету, а источником вторжения в эти внутренние серверы является именно внешний подозрительный IP:

Шаг 3

Независимо от прямого вторжения или второго вторжения через сервер, после вторжения основная цель хакера по-прежнему заключается в шифровании данных в серверной системе. До этого мы должны сначала сделать простую «очистку» системы, чтобы проложить путь к атаке.

На этом этапе вам могут помочь различные инструменты управления или инструменты Rootkit. Основываясь на прошлых случаях, ProcessHacker стал самым популярным инструментом благодаря своим мощным функциям. Хакеры часто используют его в сочетании с привилегиями приобретенного системного администратора для завершения процесса программного обеспечения безопасности или другого программного обеспечения для резервного копирования, а иногда и для очистки службы базы данных, чтобы вирус мог успешно шифровать файлы данных:

Шаг 4

В конце концов, вся предварительная работа завершена, в это время хакер уже имеет права системного администратора, и в системе больше нет защитного и резервного программного обеспечения, чтобы помешать вирусу. В это время хакер может напрямую отправить программу-вымогатель в систему для шифрования.

Кроме того, некоторые хакеры также запускают трояны или бэкдоров для дистанционного управления, чтобы облегчить повторный вход для долгосрочного контроля над атакованными машинами.

Таким образом, полный набор процессов вторжений состоит в том, что хакер может успешно вторгнуться в машину, открытую в Интернете. Если этот шаг не удастся, хакер нечего не может делать, но если этот шаг был успешным,хакеры был успех более чем наполовину, если машины в интрасети также имеют слабые пароли или уязвимости, даже если эти машины не подключены к интернету, они будут взломаны хакерами в присутствии трамплинов внутри сети, а также иногда машина многократно заражает друг друга.

Вывод и Напоминание

Из приведенного выше сводки видно, что хакер получил полные права администратора сервера в первые два шага. Можно видеть, что последним двум шагам полностью ну нужны сложные операции, поэтому необходимо сосредоточить внимание на предотвращении вторжения хакеров. 360 Security Center предоставляет следующие восемь рекомедаций:

1. Не используйте слишком простые пароли на сервере. Пароль для входа должен быть комбинацией прописных и строчных букв, цифр и специальных символов и содержать пароль на достаточной длине. Кроме того, добавьте политику безопасности, которая ограничивает количество неудачных входов и периодически меняет пароль для входа.

2. Не используйте один и тот же или похожий пароль для входа для нескольких компьютеров.

3. Используйте изолированное резервное копирование для регулярной восстановления важной информации. Пользователям следует уделять больше внимания «изолированной резервной копии», поскольку иногда резервный сервер шифруется вместе в одной сети.

4. Вовремя исправляйте уязвимости системы безопасности, а также не игнорируйте патчи безопасности для общих служб.

5. Отключите несущественные сервисы и порты, такие как 135, 139, 445, 3389 и другие порты с высоким уровнем риска.

6. Строго контролируйте разрешения общей папки и максимально эффективно выполняйте взаимодействие с облаком.

7. Повысьте осведомленность безопасности, не нажимайте на незнакомые ссылки, вложения электронной почты из неизвестных источников, файлы, отправленные незнакомцами через программное обеспечение для обмена мгновенными сообщениями. Выполняйте проверки безопасности перед щелчком или запуском, а также загружайте и устанавливайте программное обеспечение из безопасных и надежных каналов.

8. Установите 360 Total Security и убедитесь, что мониторинг безопасности запущен и работает нормально, и вовремя обновляйте программное обеспечение.