一、背景

近期，針對Windows服務(wù)器攻擊的勒索病毒持續(xù)傳播，尤其是2018年年初國內(nèi)數(shù)家機構(gòu)服務(wù)器被GlobeImpsoter勒索病毒攻擊，導(dǎo)致業(yè)務(wù)大面積癱瘓，這引起了大家對服務(wù)器安全的關(guān)注。

根據(jù)騰訊御見威脅情報中心監(jiān)控，每周都有企業(yè)Windows服務(wù)器被勒索病毒攻擊，服務(wù)器上的數(shù)據(jù)文件被加密，嚴重影響公司業(yè)務(wù)運轉(zhuǎn)。對此，騰訊御見威脅情報中心對服務(wù)器勒索攻擊進行了深入分析。

針對服務(wù)器攻擊的勒索病毒主要有兩大家族，分別是GlobeImposter和Crysis。GlobeImposter是個勒索病毒的一個老家族，初期主要通過釣魚郵件針對個人用戶攻擊，現(xiàn)在為了獲得更高收益，已將重點攻擊目標轉(zhuǎn)向企業(yè)服務(wù)器。Crysis家族最早可以追溯到16年3月，2017年開始持續(xù)傳播，一直針對Windows服務(wù)器進行攻擊。

??

[[230972]]

二、攻擊影響

1.地域分布

統(tǒng)計受勒索病毒攻擊的企業(yè)地理分布，發(fā)現(xiàn)江蘇、廣東最多，其次是山東、北京。

2.行業(yè)分布

通過對受攻擊的企業(yè)用戶進行分析，遭到服務(wù)器勒索攻擊的行業(yè)主要為傳統(tǒng)行業(yè)，分別為政府機關(guān)（26%）、工業(yè)企業(yè)（15%）和醫(yī)療機構(gòu)（13%）。相對于信息安全建設(shè)比較成熟的互聯(lián)網(wǎng)公司而言，這些偏傳統(tǒng)的機構(gòu)在信息安全上往往投入較少，安全運維缺陷較多。例如服務(wù)器沒有及時修復(fù)高危漏洞，沒有良好的安全規(guī)范等。

??

3.傳播趨勢

??

服務(wù)器勒索病毒一直呈持續(xù)增長的傳播階段，Crysis家族和Globelmposter傳播均有上漲。尤其是進入了4月份之后，兩家族傳播均有明顯增長跡象。騰訊御見威脅情報中心統(tǒng)計發(fā)現(xiàn)，自4月1日到4月18日，企業(yè)服務(wù)器被這兩個勒索病毒攻擊的事件增長了34%。

一旦受害企業(yè)服務(wù)器數(shù)據(jù)被加密，業(yè)務(wù)將無法正常運轉(zhuǎn)，會更傾向于交付贖金。攻擊企業(yè)比攻擊普通網(wǎng)民的收益要高很多，因此，未來較長的時間里，針對企業(yè)服務(wù)器的勒索病毒傳播會是黑客攻擊的重點。

三、GlobeImposter樣本分析

1.勒索病毒整體加密過程

勒索病毒使用了RSA+AES加密方式，加密過程中涉及兩對RSA密鑰(分別為黑客公私鑰和用戶公私鑰，分別用hacker_rsa_xxx和user_rsa_xxx表示這兩對密鑰)和一對AES密鑰。黑客RSA密鑰用于加密用戶RSA密鑰，用戶RSA密鑰用于加密AES密鑰，AES密鑰用于加密文件內(nèi)容。

具體的加密流程：

勒索病毒首先解碼出一個內(nèi)置的RSA公鑰(hacker_rsa_pub)，同時對每個受害用戶，使用RSA生成公私鑰（user_rsa_pub和user_rsa_pri），其中生成的密鑰信息使用內(nèi)置的RSA公鑰(hacker_rsa_Public)進行加密后，做為用戶ID。

在遍歷系統(tǒng)文件，對符合加密要求的文件進行加密。對每個文件，通過CoCreateGuid生成一個唯一標識符，并由該唯一標識符最終生成AES密鑰(記為file_aes_key)，對文件進行加密。在加密文件的過程中，該唯一標識符會通過RSA公鑰(user_rsa_pub)加密后保存到文件中。

黑客在收到贖金、用戶ID和文件后，通過自己的私鑰(hacker_rsa_pri)解密用戶ID,可以得到user_rsa_pri，使用user_rsa_pri解密文件，就可以得到文件的file_aes_key，進而可以通過AES算法解密出原始文件。

??

部分勒索病毒的加解密流程

下面對樣本中使用的一些技術(shù)手段進行分析。

2.加密字符解密算法

軟件中的字符及內(nèi)置的公鑰等信息都以加密的方式保存，加密使用的為AES算法，函數(shù)00409392為解密算法函數(shù)，函數(shù)包含5個參數(shù)，每個參數(shù)的含義如下：

參數(shù)1：返回值，解密后的內(nèi)容

參數(shù)2：返回值，解密后的內(nèi)容的長度

參數(shù)3：解密key

參數(shù)4：解密key的長度

參數(shù)5：文件句柄，如果文件句柄不為空，就將解密后的內(nèi)容寫入到該文件句柄對應(yīng)的文件中

??

對aes_crypt函數(shù)，使用mbedtls_aes_crypt_ecb進行AES解密操作。

??

通過IDA的上下文交叉引用，看到共有七處調(diào)用了MyAESDecode函數(shù)進行解密內(nèi)容，這七處調(diào)用功能解釋如下：

??

3.解碼排除文件夾與排除后綴名

惡意樣本在勒索過程中會繞過包含某些特殊字符的文件夾，這些特殊的字符解碼算法如下：

1)使用“CC0BE4F069F6AE6FFFCCBFD92CE736EE21792B858339D632F577268C2CDD384A”作為AESkey，解密00401158處硬編碼的0x210大小的數(shù)據(jù)內(nèi)容，解密后的內(nèi)容為硬編碼的RSA公鑰(hacker_rsa_pub)。

??

2)對上面解密出來的RSA公鑰(hacker_rsa_pub)計算SHA256，計算sha256的代碼片段如下：

??

3)使用sha256的值做為AESkey，再次利用解密算法，解密出字符串列表。

??

解密出的字符串列表：

??

4)用戶ID的生成

勒索病毒運行后，會在用戶機器上生成名為”60091F9FF415A9DD5FDFF0D880249E69F883A75D0242CE20D6E6A90CC5AEAFDE”的文件，此文件名為內(nèi)置的公鑰的SHA256哈希值。該文件中保存了用戶ID信息。

用戶ID的生成算法為：勒索病毒首先通過RSA-1024生成用戶公私鑰(user_rsa_pub和user_rsa_pri)，將生成的密鑰中的rsa.P與rsa.Q拼接上“.TRUE.HOWBACKFILE”等內(nèi)容后，使用內(nèi)置的公鑰(hacker_rsa_pub)加密，結(jié)果作為用戶ID，同時，生成的公鑰（user_rsa_pub）會做為后面遍歷文件系統(tǒng)時的加密key使用。

可見，該用戶ID也經(jīng)過了RSA公鑰(hacker_rsa_pub)的加密，在沒有私鑰(hacker_rsa_pri)的情況下，很難還原出RSA-1024的密鑰內(nèi)容。

??

5)文件加密過程

通過GetLogicalDrives得到盤符信息，對每個盤符開啟一個線程進行加密，每個線程函數(shù)的參數(shù)包含三部分內(nèi)容：當(dāng)前盤符路徑，加密key(user_rsa_pub)，用戶ID。

??

判斷文件路徑是不是屬于排除路徑：

??

函數(shù)sub_4094D9會實現(xiàn)對文件的加密，對文件的加密使用的是AES加密算法。下面將詳細介紹該函數(shù)的過程。

AES加密的KEY通過CoCreateGuid生成，CoCreateGuid函數(shù)功能為生成全局唯一標識符，勒索病毒使用該全局唯一標識符做為secret_key,secret_key用來生成AES的加密key.。

??

AES加密時的IV參數(shù)由當(dāng)前文件的大小和文件路徑共同生成。IV參數(shù)將MD(filesize||filename)后取前16位。

??

將IV和secretkey使用MBEDTLS_MD_SHA256計算8192次HASH，并將HASH結(jié)果做為AES加密的KEY

??

隨后，使用內(nèi)置的RSA公鑰將guid進行加密，并將加密過的guid及用戶ID寫入到當(dāng)前文件中。

??

最后，使用AES算法將文件內(nèi)容加密。

??

AES加密算法過程如下：

??

6)自啟動

勒索病毒通過在RunOnce注冊表下新建名為BrowserUpdateCheck的鍵值，達到開機自啟動的目的。部分代碼如下

??

7)自刪除

通過調(diào)用CMD/cdel來實現(xiàn)自刪除，部分代碼如下

??

8)刪除遠程桌面連接信息及事件日志

解密bat文件后釋放到臨時目錄下，并加載運行

??

解密出來的bat文件內(nèi)容如下

??

Bat會刪除遠程桌面連接信息文件default.rdp，并通過wevtutil.execl命令刪除日志信息

四、Crysis樣本分析

1.病毒通過自建IAT的方式，運行后首先解密需要使用的動態(tài)庫，API字串，隨后通過LoadLibraryA，GetProcAddress循環(huán)遍歷來動態(tài)獲取解析使用的API，獲取函數(shù)地址后填充IAT表，隨后病毒所有的API調(diào)用均使用：

MOVEAX,[IAT-FUN-ADDR]

jmp004066c0

004066c0：CallEAX

的方式來間接調(diào)用，這樣做也導(dǎo)致了靜態(tài)分析情況下導(dǎo)入表中無法看到病毒調(diào)用相關(guān)敏感Api。

??

??

??

2.運行后的病毒首先會關(guān)閉以下大量服務(wù)，來確保待加密文件不被占用，加密文件時不會產(chǎn)生異常。

??

3.同時結(jié)束下列進程，主要為數(shù)據(jù)庫相關(guān)進程，其目的也是為了防止加密文件被占用，從關(guān)閉的進程列表也可看出，病毒主要攻擊使用sqlserver，mysql數(shù)據(jù)庫的服務(wù)器。

??

4.病毒不僅會加密磁盤本地文件，還會嘗試遍歷網(wǎng)絡(luò)共享目錄下的文件來進行加密。

??

5.通過在內(nèi)存中解密出加密文件類型后綴可知，病毒加密了以下340余種文件類型。

??

病毒會加密的340種文件類型如下：

1cd;.3ds;.3fr;.3g2;.3gp;.7z;.accda;.accdb;.accdc;.accde;.accdt;.accdw;.adb;.adp;.ai;.ai3;.ai4;.ai5;.ai6;.ai7;.ai8;.anim;.arw;.as;.asa;.asc;.ascx;.asm;.asmx;.asp;.aspx;.asr;.asx;.avi;.avs;.backup;.bak;.bay;.bd;.bin;.bmp;.bz2;.c;.cdr;.cer;.cf;.cfc;.cfm;.cfml;.cfu;.chm;.cin;.class;.clx;.config;.cpp;.cr2;.crt;.crw;.cs;.css;.csv;.cub;.dae;.dat;.db;.dbf;.dbx;.dc3;.dcm;.dcr;.der;.dib;.dic;.dif;.divx;.djvu;.dng;.doc;.docm;.docx;.dot;.dotm;.dotx;.dpx;.dqy;.dsn;.dt;.dtd;.dwg;.dwt;.dx;.dxf;.edml;.efd;.elf;.emf;.emz;.epf;.eps;.epsf;.epsp;.erf;.exr;.f4v;.fido;.flm;.flv;.frm;.fxg;.geo;.gif;.grs;.gz;.h;.hdr;.hpp;.hta;.htc;.htm;.html;.icb;.ics;.iff;.inc;.indd;.ini;.iqy;.j2c;.j2k;.java;.jp2;.jpc;.jpe;.jpeg;.jpf;.jpg;.jpx;.js;.jsf;.json;.jsp;.kdc;.kmz;.kwm;.lasso;.lbi;.lgf;.lgp;.log;.m1v;.m4a;.m4v;.max;.md;.mda;.mdb;.mde;.mdf;.mdw;.mef;.mft;.mfw;.mht;.mhtml;.mka;.mkidx;.mkv;.mos;.mov;.mp3;.mp4;.mpeg;.mpg;.mpv;.mrw;.msg;.mxl;.myd;.myi;.nef;.nrw;.obj;.odb;.odc;.odm;.odp;.ods;.oft;.one;.onepkg;.onetoc2;.opt;.oqy;.orf;.p12;.p7b;.p7c;.pam;.pbm;.pct;.pcx;.pdd;.pdf;.pdp;.pef;.pem;.pff;.pfm;.pfx;.pgm;.php;.php3;.php4;.php5;.phtml;.pict;.pl;.pls;.pm;.png;.pnm;.pot;.potm;.potx;.ppa;.ppam;.ppm;.pps;.ppsm;.ppt;.pptm;.pptx;.prn;.ps;.psb;.psd;.pst;.ptx;.pub;.pwm;.pxr;.py;.qt;.r3d;.raf;.rar;.raw;.rdf;.rgbe;.rle;.rqy;.rss;.rtf;.rw2;.rwl;.safe;.sct;.sdpx;.shtm;.shtml;.slk;.sln;.sql;.sr2;.srf;.srw;.ssi;.st;.stm;.svg;.svgz;.swf;.tab;.tar;.tbb;.tbi;.tbk;.tdi;.tga;.thmx;.tif;.tiff;.tld;.torrent;.tpl;.txt;.u3d;.udl;.uxdc;.vb;.vbs;.vcs;.vda;.vdr;.vdw;.vdx;.vrp;.vsd;.vss;.vst;.vsw;.vsx;.vtm;.vtml;.vtx;.wb2;.wav;.wbm;.wbmp;.wim;.wmf;.wml;.wmv;.wpd;.wps;.x3f;.xl;.xla;.xlam;.xlk;.xlm;.xls;.xlsb;.xlsm;.xlsx;.xlt;.xltm;.xltx;.xlw;.xml;.xps;.xsd;.xsf;.xsl;.xslt;.xsn;.xtp;.xtp2;.xyze;.xz;.zip;

6.為了不影響系統(tǒng)正常運行，病毒加密文件的時候，還會避開以下系統(tǒng)文件不加密，避免因為加密系統(tǒng)文件后產(chǎn)生系統(tǒng)異常。

??

7.加密文件完成后的病毒會運行釋放在自身目錄下Info.exe文件來顯示勒索信息，病毒作者要求受害者24小時內(nèi)聯(lián)系郵箱badfile@qq.com，進一步通過支付比特幣的方式繳納解密文件贖金。并且病毒作者聲稱解密文件所需支付的比特幣數(shù)量取決于受害者寫郵件的速度，從而威脅受害者盡快與病毒作者聯(lián)系。

??

五、服務(wù)器勒索病毒的傳播渠道

針對服務(wù)器攻擊的勒索病毒，黑客首先會利用弱口令漏洞、系統(tǒng)漏洞等方式獲得遠程登錄用戶名和密碼，之后通過RDP（遠程桌面協(xié)議）遠程登錄服務(wù)器來傳播勒索病毒。黑客一旦能夠成功登錄服務(wù)器，則可以在服務(wù)器上為所欲為，這也就導(dǎo)致了即使服務(wù)器上安裝了安全軟件也無濟于事。

以某公司的服務(wù)器為例，通過系統(tǒng)安全日志可以看到，該服務(wù)器平均每隔幾秒就會被嘗試登錄一次

??

通過詳細信息可以看到，最終被俄羅斯的一個IP成功遠程登錄

??

同時，黑客成功入侵了一臺服務(wù)器后，往往會進一步進行內(nèi)網(wǎng)滲透，攻陷很多的服務(wù)器，有些黑客甚至還會留下遠控木馬，最終服務(wù)器淪為肉雞。

??

六、解決方案

通過對多起服務(wù)器勒索攻擊的分析，發(fā)現(xiàn)該類勒索攻擊大多通過弱口令爆破后，利用RDP協(xié)議遠程登錄目標服務(wù)器運行勒索病毒。這也就導(dǎo)致了，及時服務(wù)器上安裝了安全軟件也會被黑客手動退出，進而對勒索病毒毫無防御能力。