打响WannaRen勒索疫情“反击战”,360安全大脑独家揭秘攻击全链路
2020-12-04
日前,360安全大脑全网独家截杀WannaRen 幕后元凶“匿影”僵尸网络的新一轮攻击活动,以全维度主动预警式安全防御,起底“匿影”僵尸网络威胁,护航党政军企多端用户网络安全。
“WannaRen”二代已经来了
你知道吗?
11月23日早,刚进入工作状态的安全专家小刘,接到了一封来自“360安全大脑——主防威胁监测平台”的告警通知,这封告警通知显示,老对手“匿影”僵尸网络又开始新一轮行动了。而这封看似寻常的告警通知,已经包含了“匿影”僵尸网络整个攻击过程的完整脉络。
原来,360安全大脑利用全网主动防御探针监测到可疑攻击后,第一时间对攻击相关威胁情报进行全网大数据聚合分析,智能比对精准提取攻击代码差异,并生成全维度高精准性分析结果,呈现威胁信息的同时,并为分析人员提供新一轮攻击预警信息。
自动分析系统展示此次攻击与过去攻击的差异
呈现在安全专家小刘面前的,正是一幅360安全大脑生成的攻击代码差异图像,它清晰地展示了“匿影”僵尸网络11月22日的攻击代码与11月23日的攻击代码之间的差异。基于可视化图像,小刘发现在这次“匿影”僵尸网络更新中,攻击者下线了之前vmp.exe的投放,并改从hxxps://api.strongapt.ml/vmp2.jpg投递vmp2.exe病毒运行。为了确定“匿影”僵尸网络是否有较大动作,小刘将目光转向“360安全大脑——主防威胁可视化平台”。
“匿影”僵尸网络的攻击趋势图
“主防威胁可视化平台”对每日新出现的威胁事件进行聚合与可视化展示,该平台可实时展示流行僵尸网络的攻击态势,“匿影”僵尸网络就是监控目标之一。平台监控了“匿影”僵尸网络的攻击趋势、相关网络与终端维度威胁情报的数量以及生命周期,通过上述数据,小刘清楚地了解到“匿影”僵尸网络的方方面面,并以此进行相应的研判和分析。
对“匿影”僵尸网络的攻击趋势以及相关威胁情报进行分析后,小刘判断“匿影”僵尸网络近期极可能有新动作,但目前还处于布局阶段,遂决定继续观察,等待其下一步行动。
多封告警洞悉“匿影”家族“车轮战”
360安全大脑独家披露
11月24日早,又一封告警通知出现在了小刘面前。
和上一封告警通知相比,内容仿佛“两级反转”,下载运行vmp2.exe的代码消失不见,老版本中的vmp.exe又回归视野中。事出反常必有妖,小刘意识到这可能是攻击者的一些测试行为。小刘再次决定用“主防威胁可视化平台”探个究竟。
因为除了优秀的可视化能力,“主防威胁可视化平台”还会对每天出现的新威胁进行家族归类,并输出配套辅助信息以方便分析人员分析。
此时,小刘开始检查“匿影”一周以来攻击活动的细节。
“匿影”家族一周来的攻击细节
展示在小刘面前的,是这一周“匿影”僵尸网络的攻击细节,从相关威胁情报、威胁关键词、威胁描述、沙箱结果到攻击链路图,无不囊括其中。在对这一周的威胁进行检索之后,小刘发现了隐藏在背后的秘密——继上一次WannaRen勒索病毒之后,“匿影”僵尸网络再一次投递勒索病毒。
而告诉他这一结果的,正是360沙箱云。
360安全大脑主防威胁监测平台会将发现的攻击行为,自动投递360沙箱云,以进行攻击行为分析,这也大大加快了对攻击事件和病毒木马的分析速度。
360沙箱云对攻击样本进行分析
360沙箱云展示的攻击链路图
小刘从360沙箱云看到的攻击链路图,清晰地展示了“匿影”僵尸网络存在文件加密相关的动作以及勒索信息的释放,并告诉小刘这可能是一起勒索攻击。
也就是说,WannaRen勒索病毒事件可能卷土重来。
打响勒索疫情“反击战”
360安全大脑释放截杀解密
此时,安全专家小刘已进入战备状态,他通知同事注意关注勒索病毒反馈情况,同时检查360安全终端防御情况,并将相关情报信息推送到360情报云。
11月24日下午,第一例反馈到来。虽然加密文件的后缀不再是WannaRen,而是nocry,但从受害环境看,攻击者就是“匿影”僵尸网络。此时,360解密大师已在紧锣密鼓地开展解密分析工作。
同一时间,小刘开始通过“360安全大脑——攻击链路图”对“匿影”僵尸网络攻击目标进行深入排查。
“360安全大脑——攻击链路图”清晰地展示攻击是如何发生、发展,以及攻击到哪一步时被360安全终端阻断,并以分析人员熟悉的进程树风格展示攻击全景。很快,小刘对所有被攻击的机器完成检查,没有发现一台机器被攻破。
此时,360解密大师已成功发现勒索病毒中的算法缺陷,并开发出针对该勒索病毒的解密支持,顺利为部分未使用360产品但中招勒索病毒的用户恢复文件。
协助用户解密文件
至此,“匿影”僵尸网络攻击事件暂告一段落。
支持新版WannaRen解密
360解密大师获医疗领域用户致谢
此次CryptoJoker(WannaRene二代)勒索病毒使用nocry后缀,且主要通过WannaRen投递渠道——“匿影”僵尸网络进行投递,该僵尸网络近年来持续活跃,感染设备基数较大,危害严重。一直以来“匿影”家族主要通过“永恒之蓝”漏洞,攻击目标计算机,并在其中植入挖矿木马,借“肉鸡”挖取PASC币、门罗币等加密数字货币,以此牟利发家。
此次“匿影”下发的勒索病毒在一周时间内更新了多次,我们选择了其中一个持续时间较长的版本为大家介绍。
首先攻击者通过脚本下载勒索病毒文件到ProgramData目录并运行勒索病毒,之后病毒loader程序开始通过内存加载shellcode方式执行,其中伪装成jpg图片的文件才是真正的勒索程序。
释放到ProgramData目录下的勒索病毒文件
最后病毒会将代码注入到cmd.exe,calc.exe和svchost.exe宿主进程中,并开始加密过程。
此次病毒使用CryptoAPI进行文件加密,加密后文件缀名被修改为nocry,同时在多个文件目录下显示不同语言版本的“勒索信”。
注入到宿主进程后,使用CryptoAPI进行文件加密
多语言版本的“勒索信”
除此之外,匿影还会下发窃取“数字货币”和个人隐私信息的攻击代码,利用everything.exe扫描本地文件,通过匹配特定文件名,找到本地账户虚拟货币相关文件,之后利用curl工具上传到其网盘之中。
利用everything.exe扫描本地文件
关键字匹配文件名,窃取相关文件
不过广大用户无需担心,在360安全卫士准确、实时和智能的保护下,此类无文件攻击、宿主进程寄生隐藏等手法都无法绕过360安全卫士的检测,360安全大脑赋能的新一代防御技术可以做到防患于未然,亦可对中毒机器进行彻底查杀。
360安全卫士多维度防护
从360安全大脑监测数据来看,近期该勒索病毒正在全网流窜,且除个人用户外,已有医疗等企业级用户不幸中招。万幸的是,在360安全大脑的极智赋能下,360解密大师已为帮助该医疗机构成功恢复加密文件,为表谢意该医疗机构特别发来感谢信。
(部分用户致谢信)
在勒索病毒转向高价值目标的趋势下,医疗、政府等成为不法黑客团伙眼中的“肥肉”。对此,360安全大脑针对党政军企等各领域用户,给出如下安全建议:
1. 对于个人用户,可及时前往weishi.360.cn下载安装360安全卫士,强力查杀此类病毒木马;
2. 对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解;而对于小微企业,则可直接前往safe.online.360.cn,免费体验360安全卫士团队版,抵御木马病毒攻击;
3. 企业360情报云的ioc检测、发现能力已经全面集成到本地大脑、asia、安全DNS等产品中,用户可以通过采购这些产品获取高效及时的最新威胁情报支持,提升安全产品防御能力。
4. 目前360沙箱云已对外提供公开服务,通过沙箱云可以快速准确对可疑样本完成自动化分析,帮助企业管理员更好应对企业内部面临的安全问题。
5. 对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;
6. 提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合。