前两周某天,突然接到朋友电话,说中勒索病毒了,因为安装了某云的杀软,所以某云先进行了处理,结论是通过Todesk软件入侵的。朋友有些怀疑,所以让我给看看。
中招勒索病毒之后,电脑出现付款解密提示
朋友发来的截图,所有文件都被加密了,并有详细的付款解密提示。从后缀名可以判断是Devos勒索病毒,这是Phobos黑客组织的典型特征。
接下来就是找病毒程序,在C盘的administrator目录下找到了:
在电脑硬盘里面找到勒索病毒程序
这里跟某云得出的结论有矛盾:朋友公司安装了域控服务器,正常都是通过域用户登录到桌面,但勒索病毒却在本地管路员(Administrator)目录下?
那究竟是怎么登录的呢?先看看中招设备的日志。运气不错,黑客居然没有清理日志:
红框中就是RDP远程登录日志
注意截图红框中的登录日志,用本地管理员账户登录,与其他通过域账户登录形成鲜明的对比,并且还是凌晨两点多,从同一网段的另一台设备(172.117.25.15)登录过来的。同一网段都是相同作用的机器,这就好比A和B是同事,通过A电脑远程RDP登录到B电脑上,逻辑上说不通。
那么去172.117.25.15设备上看看日志,依旧未被清除:
另一台机器上的RDP远程登录日志
最早是从4号晚上大约12点登录的,隔了两个小时后开始密集登录,这期间发生了什么?照例先看日志:
黑客入侵后的命令行操作
大约晚上12点18分(上图),黑客执行了netscanold.exe程序,这是黑客常用的弱口令扫描工具之一。仅一分钟多(下图),这个扫描器就找到了一台存在弱口令的机器……
那基本可以确定172.117.25.15这台机器就是0号机了,也就是黑客的入侵点。后来朋友排查,发现这台机器开启了3389端口远程桌面协议(RDP) 连接,并经路由器映射到了互联网上……
这也符合Phobos黑客组织的特征:通过端口 3389 上的开放或不安全的远程桌面协议(RDP) 连接实现入侵。通过暴力破解 RDP 凭据、使用被盗和购买的 RDP 凭据或网络钓鱼来获得账号密码。并且,Phobos还会利用恶意邮件附件、下载链接、补丁程序和软件漏洞等来访问企业的终端与网络。
剩下的事情就是朋友恢复机器去了,还好有备份。不过还是要提醒大家注意防范勒索病毒。Phobos黑客组织是一个非常典型的RDaas(RansomWare as a Service,勒索即服务)勒索组织:Phobos组织本身会对企业进行勒索,同时也出售高度自动化的勒索工具包,这意味着没有任何技术知识的犯罪分子也可以借助于Phobos提供的工具包创建勒索软件变种,并对企业目标发起攻击。
而且,这次勒索事件也是利用的Phobos工具包:晚上12点左右登录进行弱口令扫描的是购买勒索工具包的人,而在凌晨2点多登录的又是另一波人,这波人的技术水平明显高明不少,用工具暴力破解了数十台存在弱口令的设备。这也是当前勒索攻击非常典型的分工协作模式。
提醒一下大家,中招勒索病毒后的处理,千万别病急乱投医:
1、 如果数据还未被加密,立马断网,直接拔网线,但一定不要关机!不要关机!不要关机!(重要事情说三遍)不确定有局域网有多少设备中招情况下,拔交换机电源!
2、 如果数据已经被加密,那基本没法破解的,除非你有量子计算机。所以千万不要相信网上说能解密的广告!免得数据没了,还额外损失钱财!
3、 如果数据有备份,千万记得断开备份,联系网络安全专家找黑客入侵点;
4、 如果没有备份,立马找网络安全专家找黑客入侵点。
中了勒索病毒之后,最重要的是找到入侵点!不然即使恢复了,依旧有继续中招的风险。
写在最后:为什么勒索攻击越来越泛滥?
关于勒索攻击的起源可以说是一个“long story”,目前业内一般认为1989年的PC Cyborg是首款勒索软件,使用对称加密,手法比较粗糙,所以危害性不大。但到2006年,Archiveus木马首次使用了非对称加密,几乎无法破解。
但2010年以前的勒索攻击几乎没什么影响,其主要有三大问题没有解决:
1、 如何交易?不管是现金、银行卡还是pos机交易,都极其容易被抓捕;
2、 僵尸主机有何价值?黑客虽然控制主机,但只能使用算力(内存和CPU),无法提供额外价值;
3、 谁是买主?通过勒索软件加密了数据,因为是随机入侵,黑客很难判断数据的价值,也不知道应该卖给谁……
但是,2010年之后,加密货币出现了!一举解决了两大问题:加密货币通过hash后的交易地址几乎无法被溯源,自然也就找不到黑客;并且,黑客控制的僵尸主机还可以用来“挖矿”!
并且,黑客也不用费心找数据“买主”,因为最大的“买主”就是被勒索攻击的企业。数据不恢复,业务就无法正常运行,找不到入侵点就永远有风险。
到2015年,RDaaS这种新型运营模式诞生,攻击者的技术门槛越来越低。2017年,WannaCry席卷全球,勒索攻击大规模爆发。2021年,双重勒索(数据加密+数据窃取)成为主流,比如英伟达被勒索,数据泄露。据有关数据统计,全球平均每14秒就会遭受一次勒索攻击,而2022年最新的数据是,每12秒就会受到一次勒索攻击!
不要以为勒索攻击只针对大型企业,勒索攻击已经越来越接近你!前段时间,黑客利用某公司的ERP软件漏洞入侵并勒索,而这款软件主要面向的是中小型企业。
可见,RDaaS的兴起,连勒索攻击都越来越卷了……这也意味着勒索攻击的成本越来越低了,哪怕中小企业都不愿放过!
所以,朋友们,做好安全防御措施吧,不要掉以轻心!
搜索“企业IT观察”,欢迎关注,接收最新IT资讯
声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:dandanxi6@qq.com
