实在,对网络安全、攻防对抗来讲,工具也是承担类似的角色,黑产团队可以用这些工具,安全团队也可以用这些工具,至于利弊来讲,是取决于利用者的终极目的的。
以开源工具Process Hacker为例,安全团队可以用这个工具进行应急相应、恶意进程剖析、病毒查杀;而黑产团队可以用这个工具对安全软件进行卸载,对系统或运用级保护机制进行毁坏。

对从事打单病毒活动的攻击者来讲,同样存在上述征象,攻击者可以利用大量的工具进行攻击活动。
深信服安全团队处理过大量的打单病毒案例,从攻击现场,捕获了大量的工具,这些工具都是攻击者所利用的。
当然,这些工具本身也可以被用于正常用场。

工具

jsp木马清点近几年勒索病毒应用过的对象和破绽 Python

ProcessHacker

Process Hacker是一款针对高等用户的安全剖析工具,它可以帮助研究职员检测和解决软件或进程在特定操作系统环境下碰着的问题。
除此之外,它还可以检测恶意进程,并奉告我们这些恶意进程想要实现的功能。
Process Hacker是一个开源项目,Process Hacker跟ProcessExplorer十分相似,但是Process Hacker供应了更多的功能以及选项。
而且由于它是完备开源的,以是我们还可以根据自己的须要来自定义其他功能。
便是这样一款工具,安全职员和黑客,均可以拿来利用,至于是用来应急相应和查杀病毒,还是用来毁坏系统或运用,就取决于利用者。
我们在大量的打单病毒攻击中,创造很多中打单病毒的主机,黑客都会上传一份ProcessHacker,在实行打单病毒前,先把本地保护机制毁坏掉,防止加密过程被中断。

PCHunter

PCHunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各种系统信息,也可以揪出电脑中的潜伏的病毒木马。
不过,深信服安全团队创造,在打单病毒攻击活动中,黑客也有可能利用这个工具,缘故原由仍旧是想在实行打单病毒前,先把本地保护机制毁坏掉,防止加密过程被中断。
故意思的是,这个工具是国人开拓的,也便是工具本身是中文版的,外国人懂的概率比较低(难不成攻击前得先学中文?)。
这里也是提醒大家,黑产团队并不局限一个地区的,像打单病毒这块"巨大的蛋糕",海内黑产或华人黑产社区,很难想象不会参与个中。
当然,境外人士对海内的打单攻击行为相信是占大头的,毕竟他们可以肆无忌惮的攻击政府、医疗等等敏感或公益行业。

Mimikatz

神器Mimikatz是法国人Genti Kiwi编写的一款windows平台下的工具,它开拓了很多功能,最令人熟知的功能是直接从lsass.exe进程里获取Windows处于激活状态账号的明文密码。
也正是由于此功能,常常被黑客所利用,用于提取被入侵主机更多的账号密码,在打单攻击中非常常见。

上图显示了某次打单攻击活动中Mimikatz获取密码的过程。

PsExec

PsExec 是一个轻型的 telnet 替代工具,它使你无需手动安装客户端软件即可实行其他系统上的进程,并且可以得到与掌握台运用程序相称的完备交互性。
这是一款微软官方网站可以下载的工具,有数字署名,属于"根正苗红"类型的,很少有杀毒软件会将这个软件当作病毒的,由于本身它也有正常的用场的。
不过,或许正是由于此(杀软不敢"动它"),黑客在打单攻击中,也时常会利用这个工具,进行远程病毒实行和内网扩散。

NetworkShare

网络共享扫描工具,用于创造网络共享资源的,至于用来做什么,看你的目的了。
当然,我们确实在不少的打单病毒攻击中,创造了这个工具。

DUBrute

DUBrute是一款强大的远程桌面(3389)密码破解软件,你可以用本附件的扫描功能来自动扫描生动IP地址,扫描完成后设置好用户名与须要猜解的密码就可以开始全自动事情了。

NLBrute

一款爆破工具,跟DUBrute比较类似,不同黑产团队可能利用不同的爆破工具,或者基于某种考虑,会轮换利用相同类型的不同工具。

WebBrowserPassView

WebBrowserPassView是一款功能强大的网页密码查看工具。
该款工具会自动找出你在浏览器里面保存过的的帐号和对应的密码并显示出来,只要启动它,经由几秒钟之后,就会看到画面上涌现你的浏览器所影象的网址、帐号及密码了!
目前一共支持了IE1~IE9、Firefox、Chrome及Opera等四种主流浏览器。

Nasp

一款做事安装软件。

KPortScan

一款端口扫描工具。

PortScan & Stuff

一款端口扫描工具。

Lazykatz

Mimikatz作为一款神器,已广为人知,杀毒软件已将此软件视为"病毒"和"黑客工具"。
为了躲避检测和加强绕过,Lazykatz是Mimikatz的升级版本。

PowerTool

PowerTool 一款免费强大的进程管理器,支持进程逼迫结束,可以Unlock占用文件的进程,查看文件/文件夹被占用的情形,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。
最新版还支持上传文件在线扫描病毒。
支持离线的启动项和做事的检测和删除,新增注册表和做事的强删功能,可在PE系统下打消传染MBR的病毒(如鬼影等)。

Masscan

Masscan是为了尽可能快地扫描全体互联网而创建的,根据其作者robert graham,这可以在不到6分钟内完成,每秒大约1000万个数据包。

AnyDesk

AnyDesk是一款免费远程连接/远程桌面掌握软件,在一些打单病毒攻击活动中,我们创造还是有些黑客为了方便,会预留一个远程软件,方便其登录掌握。

DefenderControl

Defender Control是一款实用的Windows Defender掌握工具,这款工具的紧张浸染便是可以对Windows Defender进行开启和关闭操作。

Rdp_Connector

RDP连接工具,打单病毒攻击活动中,RDP弱密码作为一个很严重的问题,常常会被利用。

Netpass

Network Password Recovery(系统管理员密码查看器)是一款功能强大的系统管理员密码密码找回软件,如果忘却了电脑系统管理员密码时,通过这款软件既可以帮助你轻松找回,让你能够连续利用电脑。
有趣的是,如果你是管理员,找回密码是一种正常行为,但如果你是打单病毒的攻击者,"找回密码"肯定动机就不纯挚了,而我们在大量案例中,也确实创造了这个工具的利用痕迹。

Gmer

Gmer是一款来自波兰的多功能安全监控剖析运用软件。
它能查看隐蔽的进程做事,驱动, 还能检讨Rootkit,启动项,并且具有内置命令行和注册表编辑器 ,Gmer具有强大监控功能。
Gmer还具备自己系统安全模式,清理执拗木马病毒很得心应手!
同样的,我们也在打单病毒攻击中,创造了这个工具的利用痕迹。
也便是说,工具只要好用,易上手,基本上就会有很多人去用。

漏洞

漏洞在打单病毒攻击中,同样扮演了一个主要角色。
由于操作系统和运用软件的数量、版本浩瀚,这些系统、软件和程序,或多或少都存在各种各样的漏洞,也正是由于这些漏洞的存在,使攻击行为变得更加快速和高效。
以下漏洞,是深信服安全团队跟踪和创造的,在近几年被打单病毒攻击所利用的漏洞。

永恒之蓝漏洞(MS17-010)

2017年5月12日WannaCry打单病毒在环球爆发,打单病毒利用MS17-010永恒之蓝漏洞进行传播传染。
短韶光内传染环球30w+用户,包括学校、医疗、政府等各个领域。

Confluence漏洞(CVE-2019-3396)

Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。
2019年4月份,深信服安全团队捕获到利用Confluence新型漏洞传播打单病毒的事宜,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵做事器,上传Downloader脚本文件,连接C&C端下载运行打单病毒。
通过样本中提取的IP进行关联,该攻击事宜与利用Confluence漏洞(CVE-2019-3396)传播GandCrab打单病毒攻击事宜有密切的关联。

JBoss反序列化漏洞(CVE-2017-12149)JBoss反序列化漏洞(CVE-2013-4810)JBoss默认配置漏洞(CVE-2010-0738)

由于大部分做事器都会对外供应做事,这意味着如果系统、运用漏洞没有及时修补,攻击者就可能乘虚而入。
我们创造有不少的打单病毒,会考试测验攻击Weblogic、JBoss、Tomcat等Web运用,之后通过Web运用入侵Windows做事器,下载实行打单病毒。

注:上图显示了某款打单软件所内置的JBoss默认配置漏洞利用代码

Tomcat任意文件上传漏洞(CVE-2017-12615)

注:上图显示了某款打单软件所内置的Tomcat任意文件上传漏洞利用代码。

WebLogic任意文件上传漏洞(CVE-2018-2894)

Satan打单病毒已更新到V4.2版本,在最新版本中新增加了利用CVE-2018-2894(WebLogic任意文件上传漏洞)进行传播。

Weblogic WLS组件漏洞(CVE-2017-10271)

注:上图显示了某款打单软件所内置的Weblogic WLS组件漏洞利用代码。

WinRar漏洞(CVE-2018-20250)

2019年2月21日,通用压缩软件WinRAR被爆出存在严重的安全漏洞,据称有超过5 亿的用户可能受到该漏洞影响。
被创造漏洞的是WinRAR安装目录中的一个名为"UNACEV2.dll"的动态链接库文件,该文件自 2005 年发布至今就从未有过更新过。
同年3月17日,首个利用WinRAR漏洞传播打单病毒的ACE文件即被创造。
当受害者在本地主机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后会将内置的打单软件写入到用户主机启动项中,当用户重启或登录系统都会触发实行该打单软件,从而导致主要文件被加密。

Windows ALPC 特权升级漏洞(CVE-2018-8440)Windows提权漏洞(CVE-2018-8120)

在打单病毒攻击活动中,也有一些打单病毒利用了提权漏洞。
譬如CVE-2018-8120的存在,在Windows 7、Windows Server 2008 R2和Windows Server 2008中许可从内核提升权限。
由于系统进程令牌中存在缺点工具,因此变动恶意软件中的此令牌会导致恶意软件利用系统权限。

注:上图GandCrab5.0打单病毒内置的实行CVE-2018-8120漏洞的代码。

Apache Struts2远程代码实行漏洞(S2-045)

注:上图显示了某款打单软件所内置的Apache Struts2远程代码实行漏洞利用代码。

Apache Struts2远程代码实行漏洞(S2-057)

注:上图显示了某款打单软件所内置的Apache Struts2远程代码实行漏洞利用代码。

Nexus Repository Manager 3远程代码实行漏洞(CVE-2019-7238)Flash远程代码实行漏洞(CVE-2018-4878)Flash类型稠浊漏洞(CVE-2015-7645)Flash越界读取漏洞(CVE-2016-4117)Flash Player (CVE-2015-8651)Internet Explorer内存破坏漏洞(CVE-2016-0189)

一款叫Princess("公主")的打单软件,就集成了上诉多个漏洞利用代码。

Spring Data Commons远程代码实行漏洞(CVE-2018-1273)

社工与爆破

除了工具和漏洞,社工与爆破,也在打单病毒活动中扮演了十分主要的角色。

VNC爆破

2019年3月,针对远程管理工具VNC进行大范围扫描探测被创造,攻击者利用弱口令字典对运行VNC做事的机器进行爆破连接。
爆破成功后,该团伙会在中招企业网络中运行多种病毒木马,包括GandCrab5.2打单病毒、门罗币挖矿木马、数字货币钱包挟制木马等均被下载运行。

RDP爆破

2018年8月,深信服安全团队陆续接到政府、国企、医疗等多个行业用户反馈,其业务系统在短韶光内涌现被打单加密征象,造成做事器大面积瘫痪,情形危急,缘故原由不明,对如何遏止影响进一步扩大束手无策。
深信服安全团队,通过深入追踪剖析,创造大面积瘫痪,紧张是统一的RDP弱密码造成的,打单家族为CrySiS,目前仍旧是比较生动的打单家族之一。
黑客紧张利用大量黑客工具,进行RDP爆破,利用统一密码特性,利用相同密码对全网业务进行集中攻击,导致主要数据被加密。

Web管理后台弱口令爆破

打单病毒GandCrab曾多次被爆出通过暴力破解Tomcat Web做事器弱密码实现入侵。
例如通过入侵通过Tomcat Manager管理后台弱口令进行爆破,爆破成功后,攻击者会上传一个war包,该war包中包含了一个JSP网页木马,这是一个拥有最高权限的WebShell。
攻击一旦得手,黑客就会以此为跳板,连续向内网扩散。

SMB爆破

SMB是一种非常常用的网络共享协议,基于SMB漏洞的打单病毒入侵很多,范例的便是WannaCry打单病毒。
实在,SMB爆破也是打单病毒入侵的一种常见办法。
黑客深入内网后,常见会利用攻击工具(SMB弱口令爆破)在局域网内横向扩散。
从调查来看,虽然机构大多都有及时修复高危漏洞的意识,但是由于管理不到位,SMB账号爆破风险依然存在,给了黑客可乘之机。

MySQL爆破

2019年9月,深信服安全团队创造,全国各地有多处针对MySQL数据库的打单病毒征象发生,其紧张入侵手段是MySQL账号密码爆破,与以往打单病毒攻击相差较大的是,表现为不在操作系统层面加密任何文件,而是直接登录MySQL数据库,在数据库运用里面实行加密动作。
加密行为紧张有,遍历数据库所有的表,加密表每一条记录的所有字段,每张表会被追加_encrypt后缀,并且对应表会创建对应的打单信息。

钓鱼邮件

2019年4月,深信服安全团队接到包括金融行业在内的多家企业反馈,其内部员工收到可疑邮件。
邮件发件人显示为"National Tax Service"(译为"国家税务局"),邮箱地址为lijinho@cgov.us,意图伪装成美国政府专用的邮箱地址gov.us。
追踪创造,该邮件为GandCrab5.2打单病毒的钓鱼邮件,用户如果考试测验打开该邮件附件,就会中打单病毒,从而造成不可估量的丢失。

U盘投毒

2018年12月,GandCrab打单病毒通过U盘和压缩文件传播,一度生动在包括局域网在内的浩瀚终端上。
该蠕虫病毒构成的僵尸网络,过去紧张传播远控、窃密、挖矿等木马病毒,而现在开始投递GandCrab打单病毒。

在地下论坛购买RDP账号

地下论坛一贯是黑产的温床,对有些黑客来说,并不一定要自己亲自去破解用户账号密码。
以打单病毒为例,很早就爆出,一个RDP账号大概20美元,在地下论坛和市场可以直接购买,然后用于打单病毒攻击活动,赚取打单成功后的巨大差价。

僵尸网络

2019年7月,深信服安全团队捕获到一起利用Trickbot僵尸网络下发Ryuk打单病毒的攻击事宜。
Ryuk打单病毒最早于2018年8月被安全研究职员表露,名称来源于去世亡条记中的去世神。
该打单病毒运营团伙最早通过远程桌面做事等办法针对大型企业进行攻击。
起初由于代码构造与Hermes打单病毒十分相似,研究职员将Ryuk打单事宜归因于朝鲜的APT组织Lazarus。
随后,国外安全团队创造了针对已经被TrickBot攻击的受害者的Ryuk打单活动,由此关联出Ryuk打单事宜实为俄罗斯黑客组织GRIM SPIDER所为。
在这里是想提醒大家,现存的僵尸网络是很弘大的,如果后期僵尸网络大量被用于打单攻击,是一件非常恐怖的事情。

破解软件

由于某方面缘故原由,有不少用户喜好用一些破解或者捆绑类软件,实在天下没有免费的午餐,破解或者捆绑软件,给你带来"便利"的同时,说不定就会给你预留一个大坑。
2018年12月,深信服安全团队创造一款cexplorer.exe软件,通过被捆绑的办法而携带了打单病毒。
该打单病毒与正常的运用软件捆绑在一起运行,捆绑的打单病毒为STOP打单病毒的变种,加密后缀为.djvu。
如果用户到官方站点下载,切勿轻信第三方下载链接,就可以大大规避此类中招风险,说到底,还是员工安全意识不到位。

结论

通过盘点,可以看到,大量的工具、漏洞、社工与爆破被运用在打单病毒攻击活动中。
实际上,打单病毒是一个高度经济化的产物,如何理解呢?便是各个黑产团队,会费尽心机以最小代价获取最大利益,由于攻击有一个本钱问题。

以工具为例,实在黑客进行打单病毒攻击所利用的工具,很难说便是"黑客工具",这里面有很多工具也可以用于正常用场,例如Process Hacker和PC Hunter这种,便是可以用来排查病毒和逼迫杀去世病毒进程的。
但实际上,这类安全职员所利用的工具,并没有规定黑客不能用啊,而且他们完备没有必要去重新开拓,"拿来主义"很方便。
既然能用这类工具做对抗,即毁坏安全软件的环境,使打单病毒能正常运行,以是就会被黑客所频繁利用。
再比如PsExec工具,这个是微软官方网站的一个工具,所谓"根正苗红",但还是被黑客拿去从事打单病毒攻击活动。

以漏洞为例,目标企业(被打单病毒入侵的工具),本身的系统、版本、业务和软件是繁多的,有多少漏洞很难讲,但实际上,很多时候,黑客并不是要找"最难找"的漏洞(或者创造最新的漏洞,如0day),也不是要"找全"所有的漏洞,作为打破口,很多时候,每每找到一个"最好找"的漏洞即可,由此在目标企业内网撕开一个口子,漫游内网,并将打单病毒在内网大肆传播,获取巨大利润。

以社工和爆破为例,目标企业并不是所有人都有很好的安全意识,而攻破一个企业,并不须要把所有人都攻击到位,只要有个别员工存在"轻忽"行为,点击不明邮件或下载运行不明软件,都有可能带来入口点的打破,从而导致后面打单病毒在内网的横向。
而且安全和易用性每每有一定的抵牾性,安全部门强调安全性,业务部门强调易用性。
业务部门作为生产部门,有很大的话语权,有时候为了更快的运转,更"方便"底下员工,在管控上都做的不是很到位。
譬如,U盘可以乱插拔,网络可以随意参与,乃至为了方便(防止忘却密码),内网大量主机和做事器常常设置弱密码,并且基本不更新。

工具种类的繁多,实质上是数字化繁荣,即社会活动前所未有的向数字化方向转移,设想能用软件办理的问题,谁还会手动去操作或者记录?能用工具办理的问题,就没必要用命令行或者大量重复的操作。
也便是说,同大多数新型事务一样,打单病毒也从数字化繁荣中"得到了发展",或者"越来越专横獗"。

漏洞,实质是软件的弱点,这个也很难根治,并且随着数字化和信息化时期的繁荣,软件开拓速率只会越来越快,种类只会越来越多,版本也是纷繁繁芜,以是从长期趋势来讲,黑客可利用的漏洞,是正干系的。
而所有漏洞利用和攻击中,打单病毒凭借"短平快"的特点,险些会长期存在,并且日趋严重。

从社工与爆破来看,内在实质是人的弱点,这个弱点是具有普遍性、通用性的,任何一个人或者一名员工都有可能有这个弱点。
虽然说漏洞衍买卖义来讲,是软件的弱点,软件衍买卖义来讲,也是人的弱点,不过这更多是一个行业职员的弱点,譬如软件开拓者。
就打单病毒来讲,在社工与爆破方面,实在只要找到一个这样的人并成功履行即可,以是对人的安全意识之加强,也是十分繁重的任务。

回到最开始的问题,从技能角度,打单病毒为何会如此专横獗?答案还是很明显的,信息化、数字化浪潮中,很多安全问题错综繁芜,亟待办理。
而企业在安全培植的投入,逐渐跟不长进击者的"投入"。
或者普通的讲,便是得投入更多的人力、更多的根本举动步伐,去培植企业安全,而不是等打单病毒涌现了再采纳行动。

办理方案

实在打单病毒演化至今,已经不再是纯挚的个人行为,必须以集体力量对抗集体力量。

打单病毒攻击者已经家当化运作,防护者更不应该只是纯挚的只依赖某个软件,就指望着办理所有问题,这是很困难的,防打单,还得系统化思考,深层次多角度进行家当化对抗。

针对打单病毒,深信服有一套完全的整体办理方案。
深信服下一代安全防护体系(深信服安全云、深信服下一代防火墙AF、深信服安全感知平台SIP、深信服终端检测与相应平台EDR)通过联动云端、网络、终端进行协同相应,建立全面的事前检测预警、事中防御、事后处理的整套安全防护体系。
云端持续趋势风险监控与预警、网络侧实时流量检测与防御、终端事后查杀与溯源,从用户场景出发,办理系统薄弱性和担保事宜相应高效性。

系统薄弱性方面,深信服构建了强大的薄弱性创造和修复机制,降落系统薄弱性风险,紧张培植能力包括:漏洞管理、渗透测试、系统和网络监控、基线核查、日志聚合与数据剖析、补丁管理和支配、安全运营中央等。

事宜相应高效性方面,深信服构建了云网端+安全做事的一整套完全办理方案,我们拥有完全专业的打单病毒相应流程,防火墙、安全感知、EDR、安全云脑能在打单病毒事宜发生的全生命周期,进行检测、拦截和封堵,结合后端强大的安全专家军队,能最大限度、最快的保护企业核心数据资产免受打单病毒的侵害。

转载自FreeBuf.COM