e0218f28beac79fffb7a490e5c11789d

LaoXinWon 携带两个勒索病毒样本,重复加密或增加解密难度

  • 浏览次数 30269
  • 喜欢 0
  • 评分 12345

感谢腾讯御见威胁情报中心来稿!

原文链接:https://mp.weixin.qq.com/s/IkPC_bmZPclVM1Cs2PmyXw

 

腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃,攻击者疑通过弱口令爆破方式投递勒索病毒。该攻击者同时携带2款勒索病毒样本,一款为C#编写的勒索模块,加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块,加密添加.lampar扩展后缀。

一、概述

腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃,攻击者疑通过弱口令爆破方式投递勒索病毒。不同以往的单一家族勒索攻击案例,经溯源后我们发现该攻击者同时携带2款勒索病毒样本,一款为C#编写的勒索模块,加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块,加密添加.lampar扩展后缀。两款病毒均无法解密,重复加密更是增加了解密难度。腾讯安全专家提醒企业注意防范,腾讯T-Sec终端安全管理系统与腾讯电脑管家均可查杀拦截此病毒。

攻击者同时携带了内网共享资源探测工具和进程对抗工具,在加密完成之后,还会清空系统日志,以隐藏入侵痕迹。系统中招后的勒索信息均要求受害者联系邮箱LaoXinWon@protonmail.com购买解密工具。

在勒索病毒攻击加密范围不断扩大,加密方式越发变态的勒索攻击现状下,攻击者携带两款勒索模块可避免单一病毒易被安全策略拦截的风险。同时,攻击者存在重复使用2款勒索病毒对受害者文件进行重复加密的情况,进一步增加了文件解密恢复的难度,受害用户即使支付赎金也可能难以挽回损失。腾讯安全系列产品已全面支持检测、拦截LaoxinWon投放的勒索病毒攻击,详细清单如下:

应用场景 安全产品 解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)LaoXinWon勒索相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)LaoXinWon勒索相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

(Cloud Firewall,CFW)

基于网络流量进行威胁检测与主动拦截,已支持:

1)LaoXinWon勒索网络相关联的IOCs已支持识别检测;

2)支持检测拦截LaoXinWon发起的爆破攻击行为。

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

(Cloud Workload Protection,CWP)

1)云镜已支持查杀LaoXinWon相关联的利用模块,勒索模块

2)云镜已支持检测拦截LaoXinWon发起的爆破攻击行为

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护 腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)LaoXinWon相关联的IOCs已支持识别检测;

2)LaoXinWon发起的爆破攻击行为已支持检测;

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点) 1)企业终端管理系统可查杀LaoXinWon相关联的利用模块,勒索模块;

2)企业终端管理系统已支持检测拦截恶意爆破攻击行为。

3)企业终端管理系统可对系统内高危漏洞进行一键修复

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

二、样本分析

腾讯安全威胁情报中心对受害电脑进行溯源分析,发现攻击者主要携带了以下5个功能模块,其中包含了2个勒索加密病毒,分别由C#和Delphi编写。1个日志清理工具,1个进程管理工具,1个局域网探测工具。

其中Lao.exe为勒索模块,该模块由C#编写,运行后会探测局域网内其它共享资源路径,同时获取本地磁盘分区根路径,以便后续对这些位置的资源进行加密。

病毒加密前会排除一些非系统数据类型格式的文件类型,添加.AES加密扩展后缀。

对文件内容的加密过程使用AES算法,AES密钥使用强随机的方式生成。


文件内容加密完成后,AES密钥信息则会使用硬编码的RSA 2048进一步进行加密,后存放于文件尾部,硬编码RSA公钥信息如下:


文件加密完成后被添加.aes扩展后缀,留下勒索信要求联系指定邮箱LaoXinWon@protonmail.com购买解密工具。

laoxinwon.exe同样是一个由Delphi编写的勒索加密模块,运行后首先从内存中解压出大量要使用的勒索关键明文字串(硬编码公钥,加密后缀,勒索信等)信息,经分析研判确认为Scarab勒索家族系列。

今年5月份,腾讯安全威胁情报中心发现国内Scarab勒索家族cov19变种活跃,该家族同样使用较复杂的RSA+AES的加密流程,细节流程如下,该家族同样无法解密。

详细分析报告可参考:《加密文件增加.Cov19扩展名,FushenKingdee勒索病毒正在活跃》

Scarab勒索家族的最新变种同此前分析过的cov19系列勒索一样,会同时加密文件名和文件内容,添加加密扩展后缀.lampar,勒索者的留下的勒索信件联系邮箱依然为LaoXinWon@protonmail.com,同前C#版本的勒索病毒购买联系人信息一致。

同时攻击者还携带了NetworkShare_pre2.exe,该恶意文件的目的为扫描探测内网可攻击的共享资源,proc.exe则为Process Hacker 安装包,主要用于失陷机器内进程上的安全对抗。


CleanExit.exe主要功能为清理Windows系统日志,攻击者在加密攻击完成后,通常会使用该工具清理系统日志,以隐藏其失陷机器的入侵痕迹。在以往发现的真实案例中,我们也看到内网失陷机作为攻击中转机频繁扫描其它内网资产的过程中,攻击者会使用定时任务的形式不断执行系统日志清理程序,从而隐藏其攻击痕迹。

三、安全建议

企业用户:

1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、建议终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户:

1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码

2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

IOCs

MD5

6fba83749c63118f62282f479d18e22a

0d2d97c53b98bcf4a3843e94f4ca6b26

参考文章

《加密文件增加.Cov19扩展名,FushenKingdee勒索病毒正在活跃》