记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Ryuk勒索再进化,可利用SMB主动传播或威胁内网安全

2021-04-01 21:15
背景概述

Ryuk勒索病毒最早在2018年8月由国外某安全公司报道,名称来源于死亡笔记中的死神,其早期变种主要通过垃圾邮件、漏洞利用工具包、RDP暴破以及木马下发等方式进行攻击,与大部分勒索病毒一样,依赖于人工运行,无主动传播行为。
*早期变种分析文章:
https://mp.weixin.qq.com/s/fNl5mdfVuaI_On8aZc57Zg

深信服终端安全团队此次发现的最新变种,入侵方式和早期变种无太大差别,但病毒样本增加了通过SMB主动传播的蠕虫性质,若客户内网多台主机采用相同的账号密码,一旦不慎感染便可能会对内网主机造成大规模破坏,造成不可挽回的损失。

样本分析

将病毒文件复制为xxxxxxxxxrep.exe及xxxxxxxxxlan.exe,如下:

设置复制后的文件为隐藏属性:

加参数运行复制的病毒文件,如下:–LAN:xxxxxxxxxlan.exe 8 LAN–REP:xxxxxxxxxrep.exe 9 REP

停止如下服务:
audioendpointbuildersamssvmcompBack
....

执行icacls <path> / grant Everyone:F / T / C / Q删除对应目录的访问限制:

使用AES256算法对文件进行加密,每个加密文件对应一个AES密钥,密钥由CryptGenKey生成,并使用RSA算法对其加密,如下:

加密后的文件后缀名修改为”.RYK”:

生成勒索信息:

病毒会抓取本机凭证,并通过SMB登录内网中相同用户名及密码的主机传播病毒文件,如下为病毒登录成功日志:

在远程主机中传入病毒文件后,远程创建任务计划运行远程主机中的病毒程序,实现内网传播:


深信服产品解决方案

1、深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品,已集成了SAVE人工智能引擎,均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:
2、深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;
3、深信服安全产品继承深信服SAVE安全智能检测引擎,拥有对未知病毒的强大泛化检测能力,能够提前精准防御未知病毒;
4、深信服推出安全运营服务,通过以“人机共智”的服务模式提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。

日常加固建议

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给系统和应用打补丁,修复常见高危漏洞;
2、对重要的数据文件定期进行非本地备份;
3、不要点击来源不明的邮件附件,不从不明网站下载软件;
4、尽量关闭不必要的文件共享权限;
5、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;
6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口。

咨询与服务

您可以通过以下方式联系我们,获取关于该勒索的免费咨询及支持服务:
1、拨打电话400-630-64306号线(已开通勒索软件专线)
2、关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3、PC端访问深信服社区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

深信服千里目安全实验室

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们


知识来源: https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=2650252425&idx=1&sn=dfbe33b17fbc42badc52e267adb5cf76

阅读:81548 | 评论:0 | 标签:勒索 安全 网安

想收藏或者和大家分享这篇好文章→复制链接地址

“Ryuk勒索再进化,可利用SMB主动传播或威胁内网安全”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁