GlobeImposter

1、原理說明

1、病毒概述

Globelmposter家族首次發現在2017年5月份，這次發現的樣本為Globelmposter家族的最新樣本，沒有內網傳播功能，其加密文件使用.TECHNO擴展名，取消了勒索付款的比特幣錢包地址以及回傳信息的“洋蔥”網絡地址，而是直接通過郵件地址告知受害者聯系，然后取得相應的付款方式，由于Globelmposter采用RSA2048算法加密，目前該勒索樣本加密的文件無解密工具。

加密過程與以往的勒索軟件并無太差差異，主要是差異在于，病毒感染方式不再具有內網橫向傳播的能力，目前發現主要通過惡意郵件附件、中毒網站掛馬、RDP暴力破解方向進行傳播感染。

主機被加密后，不再使用支付贖金方式，要求受害者通過郵件方式，把勒索的加密圖片（加密圖片上有加密文件的秘鑰）或文檔發送到指定郵箱，并進行付費解密。?

2、病毒分析

（1）勒索樣本在運行后，首先判斷%LOCALAPPDATA%或%APPDATA%環境變量是否存在，如果存在則將自身復制到%LOCALAPPDATA%或%APPDATA%目錄，如圖所示：

相關的反匯編代碼如圖所示：

復制自身到%LOCALAPPDATA%或%APPDATA%目錄之后，進行持久化操作，設置自啟動項，注冊表項為HKEY_CURRENT_USER//Software//Microsoft//Windows//CurrentVersion//RunOnce//BrowserUpdateCheck實現開機自啟動，反匯編代碼如圖所示：

（2）通過內存解密，得到如下圖所示的目錄字符串列表：

勒索軟件在進行加密的時候，會判斷是否是以上目錄，如果是以上目錄則不進行加密操作，如圖所示：

生成RSA私鑰并使用硬編碼公鑰加密，之后將加密后的密文轉換為ASCII碼，最后將密文寫入%ALLUSERSPROFILE%變量路徑中，生成的密鑰ID文件如圖所示：

樣本通過RSA算法進行加密，先通過CryptGenRandom隨機生成一組128位密鑰對，然后使用樣本中的硬編碼的256位公鑰生成相應的私鑰，最后生成受害用戶的個人ID序列號，然后加密相應的文件夾目錄和擴展名，并將生成的個人ID序列號寫入到加密文件未尾，如圖所示：

用戶感染相應的勒索樣本之后，樣本會加密相應的文件夾下的文件，并生成how_to_back_file.html的超文本文件，如圖所示：

生成的超文件文件，顯示了個人的ID序列號，以及惡意軟件作者的聯系方式，如圖所示：

?

加密完成之后，進行自刪除操作，如圖所示：

?

3、注冊表信息

此Globelmposter勒索變種添加了以下注冊表項

4、網絡行為

此次Globelmposter勒索病毒變種有一個關聯的遠控木馬（從中毒主機上獲取），中毒主機會訪問了C2站點 54.37.65.160（此遠控站點已入我們防火墻黑名單）。

2、危害說明

1、主機大量文件被加密，必須通過郵件支付贖金，才可以進行解密。

2、外發攻擊，存在被通報的風險；主機在感染病毒后，會進行橫向擴散傳播，對全網段SMB掃描和永恒浪漫漏洞利用攻擊；當對互聯網進行擴散傳播時，存在被監管單位（如網信辦）通報批評的風險；

3、其他異常癥狀，中毒主機極可能伴隨著其它中毒癥狀，包括但不限于惡意軟件、廣告軟件等。

3、處置建議

1、病毒取證

（1）檢查注冊表

是否添加如下選項：BrowserUpdateCheck

（2）網絡是否存在與：54.37.65.160通信

（3）文件夾是否存在以“.encrypted”為擴展名的文件；存在表明文件已中毒；

（4）systeminfo命令檢查服務器之前是否打過MS17-010補丁，服務器中的補丁編號與官方編號進行對比（如win2008R2應該打的MS17-010補丁為 KB4012212、KB4012215），此場景下可以發現服務器已經打上相應的漏洞補丁，截圖取證。

（5）查看服務器是否開放135,139,445等高危端口，可以借助一些wannacry免疫工具（如深信服EDR工具等查殺的檢測工具）進行檢測（如果檢測出有問題，不要免疫），截圖取證。

（6）查看服務器是否開放3389遠程登錄，截圖取證。

（7）使用EDR、QQ管家等殺毒工具對服務器進行查殺，看是否能殺出病毒樣本（目前不少勒索病毒加密完會自行刪除本體，殺軟不一定能100%殺出病毒），上傳樣本到virustotal、微步在線等平臺進行確認，看是否報樣本為勒索病毒，同時記錄病毒的創建時間和修改時間，截圖取證。

（8）根據勒索病毒的后綴名，盡可能的找出最早被加密的那個文件，記錄文件的創建時間，修改時間（如下圖在某次勒索病毒事件處置中，我們發現文件最早被加密的時間是在2017年10月5日12:40），截圖取證。

（9）Win+R運行eventvwr，打開時事件查看器，打開安全日志（windows安全日志分析可參考附錄4.3）。

（10）根據管理員發現服務器被勒索的時間和文件被加密的時間（如在步驟6中的文件最早被加密的時間是在2017年10月5日12:40），排查文件被加密的時間前后的安全日志（2017年10月5日12:40前后），看是否有異常ip地址遠程登錄了服務器（如下圖可以發現在12:36分，172.168.1.101這個ip地址登錄了服務器，該ip為一個內網的IP地址，經與管理員溝通后得知，172.168.1.101為跳板機，用來登錄內網服務器，確認在10月5日客戶與開發商都未登錄過172.168.1.101這臺服務器，由此可以推測是黑客登錄了172.168.1.101跳板機，之后利用跳板機登錄了內網服務器，植入了勒索病毒），截圖取證。

根據文件被加密的時間，排查文件被加密的時間前后的安全日志，看是否有異常ip地址遠程登錄了服務器，如果發現公網ip登錄服務器（如下圖某次應急事件中我們發現195.22.127.114這個ip遠程登錄了服務器）對于公網ip，可以結合威脅情報去確認該ip是否為異常ip（通過微步在線查詢ip地址195.22.127.114，發現該ip地址來自波蘭,瓦爾米亞－馬祖里省,奧爾什丁，該地址被微步識別為僵尸網絡，很明顯這個地址不會是管理員用來登錄服務器的ip地址），截圖取證。

（11）告知管理員服務器3389登錄密碼被黑客獲取，黑客遠程登錄服務器，植入勒索病毒，導致被勒索，

2、病毒處置

（1）修改RDP遠程桌面賬號為復雜密碼，建議修改為：“字符串+數組+字符”。

（2）推薦使用深信服EDR工具進行分析并查殺：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

3、日常預防建議

（1）不接收來歷不明的郵件，特別是來歷不明的郵件附件，切勿隨意打開。

（2）如無業務需求，建議關閉遠程桌面應用，即使開啟，建議使用較為復雜的密碼，或配置3389白名單IP登錄，防止RDP遠程暴力破解。

（3）對于沒有聯網要求的服務器，建議關閉上網權限，避免服務器被遠程CC控制。

（4）對重要數據進行定期備份，防止被惡意加密，導致數據丟失。

總結

以上是生活随笔為你收集整理的GlobeImposter的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。