曾在2020年造成國(guó)內(nèi)多家醫(yī)療機(jī)構(gòu)業(yè)務(wù)癱瘓，Makop勒索病毒這次將“魔爪”伸向了自來(lái)水公司。一旦病毒層層入侵企業(yè)內(nèi)網(wǎng)，導(dǎo)致大規(guī)模停水，不止自來(lái)水公司，更包括每一個(gè)人，都攤上大事了！

　　前段時(shí)間，深信服終端安全團(tuán)隊(duì)敏銳地發(fā)現(xiàn)了這起勒索未遂的攻擊事件，上一起勒索未遂事件點(diǎn)擊藍(lán)字了解：《一次云端排查讓勒索病毒當(dāng)眾“伏法” | 反勒索病毒暗戰(zhàn)第一期》，在本次勒索事件中，攻擊者試圖通過(guò)RDP暴力破解入侵某自來(lái)水企業(yè)內(nèi)網(wǎng)投放勒索病毒。但在深信服勒索病毒防護(hù)方案組成的銅墻鐵壁面前，勒索攻擊被迅速扼殺在“搖籃”中。

　　看到這里，你一定很好奇：深信服勒索病毒防護(hù)方案是如何用“火眼金睛”揪出病毒的？Makop勒索病毒到底有多“不講武德”？莫慌，容信服君一一道來(lái)……

　　前些日子，深信服終端安全專家君哥在全網(wǎng)進(jìn)行日常排查時(shí)，用戶一臺(tái)終端檢測(cè)與響應(yīng)平臺(tái)EDR的掃描日志引起了她的注意。

　　仔細(xì)檢查之后，果然有“貓膩”。檢出的威脅詳情如下：

　　為了進(jìn)一步確認(rèn)該威脅文件是否為真正的勒索病毒，深信服安全專家又作了進(jìn)一步的驗(yàn)證。

　　利用哈希值從外部威脅情報(bào)獲取到病毒樣本進(jìn)行本地驗(yàn)證，確認(rèn)為真實(shí)的勒索病毒檢出。

　　但需要注意的是，云端數(shù)據(jù)只上傳病毒查殺日志，包括設(shè)備ID、查殺時(shí)間、病毒文件哈希、查殺路徑，不會(huì)上傳客戶文件，未告警的正常文件也不會(huì)上傳任何信息，不會(huì)造成敏感信息泄露。

　　深信服安全專家排查了對(duì)應(yīng)的 EDR 管理平臺(tái)日志，發(fā)現(xiàn)該查殺記錄來(lái)源于一臺(tái)數(shù)據(jù)傳輸服務(wù)器，經(jīng)確認(rèn)該服務(wù)器對(duì)外網(wǎng)映射了 RDP 服務(wù)。

　　其中，靜態(tài)文件檢測(cè)和勒索行為檢測(cè)均進(jìn)行了告警，并對(duì)勒索病毒文件進(jìn)行了自動(dòng)處置：

　

　　緊接著，深信服安全專家又繼續(xù)查看了暴力破解日志，發(fā)現(xiàn)該終端一直在遭受持續(xù)的暴力破解攻擊，日志中可明顯的判斷出利用了暴力破解字典在進(jìn)行爆破：

　　

　　

　　此時(shí)，幾乎可以判定是有攻擊者利用RDP暴力破解的方式，意圖人工投放勒索病毒對(duì)該數(shù)據(jù)傳輸服務(wù)器進(jìn)行加密。

　　通過(guò)檢查用戶EDR管理平臺(tái)策略發(fā)現(xiàn)，該用戶已開啟文件實(shí)時(shí)監(jiān)控、開啟勒索防護(hù)自動(dòng)處置、開啟暴力破解自動(dòng)封堵、開啟RDP登錄保護(hù)功能，但該功能只覆蓋了周一至周五，而勒索病毒檢測(cè)日志在周六，才讓勒索病毒有了可乘之機(jī)。

　　此外，根據(jù)EDR日志告警的勒索病毒上傳目錄，查看到該目錄下還遺留有攻擊者上次的工具痕跡，其中DefenderControl是用于關(guān)閉Windows安全策略，也是勒索病毒攻擊中常用的工具，everything則是一款正常的文件搜索工具，沒(méi)有實(shí)際威脅，而ClearLock則是一款鎖屏軟件：

　　

　

　　但由于服務(wù)器系統(tǒng)安全日志都被覆蓋，無(wú)法溯源到最初的入侵IP。

　　所幸，由于用戶開啟了EDR管理平臺(tái)策略，并且深信服EDR也在發(fā)現(xiàn)威脅時(shí)第一時(shí)間進(jìn)行了阻斷和告警，聯(lián)動(dòng)響應(yīng)AF等其他安全產(chǎn)品，對(duì)整體終端安全防護(hù)進(jìn)行了升級(jí)和加固，用戶數(shù)據(jù)毫發(fā)未損。

　　深信服安全專家通過(guò)分析勒索病毒樣本信息和代碼結(jié)構(gòu)，確認(rèn)此次攻擊病毒為Makop勒索。就在2020年，國(guó)內(nèi)已有多家醫(yī)療機(jī)構(gòu)感染Makop勒索病毒，遭受服務(wù)器加密，造成業(yè)務(wù)癱瘓，影響巨大。

　　Makop勒索是一款具有交互功能的勒索病毒，與常見(jiàn)勒索病毒不同的是，它可以通過(guò)界面進(jìn)行交互，攻擊者在使用時(shí)可以自主對(duì)加密的方式進(jìn)行選擇，堪稱勒索病毒發(fā)展史上的一次“進(jìn)化”。

　　Makop勒索把需要用到的關(guān)鍵資源都進(jìn)行了加密，在需要使用時(shí)再逐一使用Windows Crypt API進(jìn)行解密，如刪除磁盤卷影的CMD命令：

　　vssadmin delete shadows /all /quiet.wbadmin delete catalog -quiet.wmic shadowcopy delete.exit

　　解密需要結(jié)束的進(jìn)程列表，結(jié)束進(jìn)程，以解除占用，確保能夠順利地進(jìn)行數(shù)據(jù)加密：

　　msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;agntsrvc.exe;mydesktopqos.exe;isqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;encsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;excel.exe;infopath.exe;msaccess.exe;mspub.exe;onenote.exe;outlook.exe;powerpnt.exe;steam.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe

　　Makop選擇加密的文件會(huì)跳過(guò)以下文件后綴或文件名，可以看出大部分是曾經(jīng)使用過(guò)的加密后綴，還有會(huì)跳過(guò)可執(zhí)行文件和釋放的勒索信息文件，以及部分系統(tǒng)配置文件：

　　CARLOS、shootlock、shootlock2、1recoesufV8Sv6g、1recocr8M4YJskJ7、btc、KJHslgjkjdfg、origami、tomas、RAGA、zbw、fireee、XXX、element、HELP、zes、lockbit、captcha、gunga、fair、SOS、Boss、moloch、BKGHJ、WKSGJ、termit、BBC、dark、id2020、arch、Raf、ryan、zxz、exe、dll、makop

　　boot.ini、bootfont.ini、ntldr、ntdetect.com、io.sys、readme-warning.txt、desktop.ini

　　同大部分的勒索病毒一樣，Makop采用的也是AES+RSA的方式進(jìn)行加密，即執(zhí)行時(shí)隨機(jī)生成AES密鑰對(duì)文件進(jìn)行加密，再使用RSA公鑰對(duì)AES密鑰進(jìn)行加密，只有拿到攻擊者的RSA私鑰，才能夠進(jìn)行解密。

　　

　　針對(duì)此次勒索病毒入侵事件，深信服提出了一些實(shí)用性的建議：

　　就目前而言，一旦被勒索病毒攻擊幾乎無(wú)方破解，關(guān)鍵在預(yù)防，同時(shí)企業(yè)也要意識(shí)到網(wǎng)絡(luò)安全建設(shè)在當(dāng)前的網(wǎng)絡(luò)攻防環(huán)境下的重要性。最后，深信服帶大家回顧下日常預(yù)防的8個(gè)『民間偏方』：

　　作為國(guó)內(nèi)前沿的網(wǎng)絡(luò)安全廠商，深信服多年來(lái)持續(xù)投入勒索防護(hù)研究，內(nèi)容涵蓋黑產(chǎn)洞察、病毒研究、情報(bào)追蹤、投放分析，并沉淀出完整覆蓋突破邊界、病毒投放、加密勒索、橫向傳播等勒索攻擊鏈的系統(tǒng)性解決方案，目前已協(xié)助1000+各行業(yè)用戶有效構(gòu)建起了勒索病毒防護(hù)最佳實(shí)踐。