恶意文件家族:
Tellyouthepass
威胁类型:
勒索病毒
简单描述:
Tellyouthepass勒索病毒于2019年3月首次在国外出现,同年4月在国内被首次发现,早期利用永恒之蓝漏洞攻击套件扩散传播,之后通过 Log4j2 漏洞、Shiro反序列化漏洞等执行任意代码,从而控制受害主机。该家族针对 Windows 和 Linux 实现双平台勒索,多次活跃直接导致国内多个企业大面积业务停摆。
恶意文件描述
最近,深信服深盾终端实验室收到了来自海内外多家单位的勒索应急求助。经过分析发现,大量主机遭受了不定向的勒索攻击。经过排查,我们发现本轮攻击为Tellyouthepass 勒索家族利用了国内某知名视频监控厂商综合安防管理平台的任意文件上传漏洞,获取了服务器权限,在/opt/*/web/components/tomcat85linux64.1/webapps/els/static 目录下上传 1424 大小的 12 个随机字符串命名的 webshell 文件,随后批量投放了勒索病毒。
恶意文件分析
样本启动后,会加密系统中的文件,并释放勒索信以诱使受害者通过勒索信中的联系方式与攻击者进行沟通及缴纳赎金,被加密文件添加特定扩展“.locked1”,勒索信文件名“README2.html”或者“READ_ME4.html”,勒索信中展示受害者可以通过邮箱与攻击者取得联系。
通过查看进程,我们发现 mshta.exe 执行了可疑的进程。
从下载缓存中拷贝出 debug2.hta 文件后,发现该文件采用 VBScript 编写。在文件中,存在使用 Base64ToStream 函数将经过 Base64 编码的字符串转换为 MemoryStream 对象,并随后使用 BinaryFormatter 对象进行反序列化的代码。这种技术可能被用于执行反序列化攻击,其中恶意序列化数据被传递给应用程序,从而导致恶意代码执行。
根据提取的恶意可执行文件发现,该文件是使用 .NET 编译的。对该文件进行分析后发现,其中使用了 RSAUtil 类来生成 RSA 密钥对,并针对指定系统路径下的文件进行加密处理,随后将加密后的数据重新写入文件,删除初始文件。
获取系统信息包括主机名、用户名、处理器数量、.NET Framework 版本以及主机的 IP 地址列表。
创建名为 “WindowsUpgradeProcessN” 的互斥量,以确保只有一个实例在运行,避免勒索软件重复运行造成冲突或文件损坏。
使用 HTTP 请求将之前收集到的受害者系统信息发送到攻击者的 C&C 服务器。
加密以下文件类型
1cd,3dm,3ds,3fr,3g2,3gp,3pr,602,7z,ps1,7zip,aac,ab4,accdb,accde,accdr,accdt,ach,acr,act,adb,adp,ads,aes,agdl,ai,aiff,ait,al,aoi,apj,arc,arw,asc,asf,asm,asp,aspx,asx,avi,awg,back,backup,backupdb,bak,bank,bat,bay,bdb,bgt,bik,bin,bkp,blend,bmp,bpw,brd,c,cdf,cdr,cdr3,cdr4,cdr5,cdr6,cdrw,cdx,ce1,ce2,cer,cfg,cgm,cib,class,cls,cmd,cmt,conf,config,contact,cpi,cpp,cr2,craw,crt,crw,cs,csh,csl,csr,css,csv,dac,dat,db,db3,db_journal,dbf,dbx,dc2,dch,dcr,dcs,ddd,ddoc,ddrw,dds,der,des,design,dgc,dif,dip,dit,djv,djvu,dng,doc,docb,docm,docx,dot,dotm,dotx,drf,drw,dtd,dwg,dxb,dxf,dxg,edb,eml,eps,erbsql,erf,exf,fdb,ffd,fff,fh,fhd,fla,flac,flf,flv,flvv,fpx,frm,fxg,gif,gpg,gray,grey,groups,gry,gz,h,hbk,hdd,hpp,html,hwp,ibank,ibd,ibz,idx,iif,iiq,incpas,indd,jar,java,jnt,jpe,jpeg,jpg,jsp,jspx,ashx,js,kc2,kdbx,kdc,key,kpdx,kwm,laccdb,lay,lay6,ldf,lit,log,lua,m,m2ts,m3u,m4p,m4u,m4v,mapimail,max,mbx,md,mdb,mdc,mdf,mef,mfw,mid,mkv,mlb,mml,mmw,mny,moneywell,mos,mov,mp3,mp4,mpeg,mpg,mrw,ms11,msg,myd,myi,nd,ndd,ndf,nef,nk2,nop,nrw,ns2,ns3,ns4,nsd,nsf,nsg,nsh,nvram,nwb,nx2,nxl,nyf,oab,obj,odb,odc,odf,odg,odm,odp,ods,odt,ogg,oil,orf,ost,otg,oth,otp,ots,ott,p12,p7b,p7c,pab,pages,paq,pas,pat,pcd,pct,pdb,pdd,pdf,pef,pem,pfx,php,pif,pl,plc,plus_muhd,png,pot,potm,potx,ppam,pps,ppsm,ppsx,ppt,pptm,pptx,prf,ps,psafe3,psd,pspimage,pst,ptx,pwm,py,qba,qbb,qbm,qbr,qbw,qbx,qby,qcow,qcow2,qed,r3d,raf,rar,rat,raw,rb,rdb,rm,rtf,rvt,rw2,rwl,rwz,s3db,safe,sas7bdat,sav,save,say,sch,sd0,sda,sdf,sh,sldm,sldx,slk,sql,sqlite,sqlite3,sqlitedb,sr2,srf,srt,srw,st4,st5,st6,st7,so,st8,stc,std,sti,stm,stw,stx,svg,swf,sxc,sxd,sxg,sxi,sxm,sxw,tar,tar.bz2,tbk,tex,tga,tgz,thm,tif,tiff,tlg,txt,uop,uot,vb,vbox,vbs,vdi,vhd,vhdx,vmdk,vmsd,vmx,vmxf,vob,wab,wad,wallet,war,wav,wb2,wk1,wks,wma,wmv,wpd,wps,x11,x3f,xis,xla,xlam,xlc,xlk,xlm,xlr,xls,xlsb,xlsm,xlsx,xlt,xltm,xltx,xlw,xml,ycbcra,yuv,zip
避免加密目录或者包含如下字符串的文件名的文件
EFI.Boot,EFI.Microsoft,Program Files,:.Windows,All Users,Boot,IEidcache,ProgramData,desktop.ini,autorun.inf,netuser.dat,ntuser.dat,bootsect.bak,iconcache.db,thumbs.db,Local Settings,bootfont.bin,System Volume Information,AppData,Recycle.Bin,:.Recovery,Windows\System32,Windows\System,Windows\SysWOW64,Windows\security,Windows\Microsoft.NET,Windows\Fonts,Windows\IME,Windows\boot,Windows\inf,show,pubkey,READ_ME,README
终止服务,终止了SQL Server、MySQL 、 Message Queuing、RabbitMQ等服务,禁用目标系统上的数据库和消息传递服务,以使系统无法正常运行或访问关键数据,从而迫使受害者支付赎金以恢复服务或数据访问权限。
execute net stop mssqlserver
execute net stop msmq
execute net stop mysql
execute net stop rabbitmq
终止进程,包括数据库服务进程(如 msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, oracle.exe, mysqld.exe 等)、办公软件进程(如 excel.exe, infopath.exe, msaccess.exe, winword.exe 等)、邮件客户端进程(如 outlook.exe, thunderbird.exe 等)以及其他常见软件进程(如 steam.exe, wordpad.exe 等)。
execute taskkill /f /im msftesql.exe
execute taskkill /f /im sqlagent.exe
execute taskkill /f /im sqlbrowser.exe
execute taskkill /f /im sqlservr.exe
execute taskkill /f /im sqlwriter.exe
execute taskkill /f /im oracle.exe
execute taskkill /f /im ocssd.exe
execute taskkill /f /im dbsnmp.exe
execute taskkill /f /im synctime.exe
execute taskkill /f /im mydesktopqos.exe
execute taskkill /f /im agntsvc.exeisqlplussvc.exe
execute taskkill /f /im xfssvccon.exe
execute taskkill /f /im mydesktopservice.exe
execute taskkill /f /im ocautoupds.exe
execute taskkill /f /im agntsvc.exeagntsvc.exe
execute taskkill /f /im agntsvc.exeencsvc.exe
execute taskkill /f /im firefoxconfig.exe
execute taskkill /f /im tbirdconfig.exe
execute taskkill /f /im ocomm.exe
execute taskkill /f /im mysqld.exe
execute taskkill /f /im mysqld-nt.exe
execute taskkill /f /im mysqld-opt.exe
execute taskkill /f /im dbeng50.exe
execute taskkill /f /im sqbcoreservice.exe
execute taskkill /f /im excel.exe
execute taskkill /f /im infopath.exe
execute taskkill /f /im msaccess.exe
execute taskkill /f /im mspub.exe
execute taskkill /f /im onenote.exe
execute taskkill /f /im outlook.exe
execute taskkill /f /im powerpnt.exe
execute taskkill /f /im steam.exe
execute taskkill /f /im sqlservr.exe
execute taskkill /f /im thebat.exe
execute taskkill /f /im thebat64.exe
execute taskkill /f /im thunderbird.exe
execute taskkill /f /im visio.exe
execute taskkill /f /im winword.exe
execute taskkill /f /im wordpad.exe
execute taskkill /f /im tnslsnr.exe
删除卷影
execute vssadmin delete shadows /all
ATT&ck
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IOC
MD5
5b32e7326712bb4219f6d6f8ad976609(hta)
e8f42e43ec16d9d5ca97d04c4a7fc88c(提取出的exe)
IP
80.92.205.181
解决方案
处置建议
1. 为本地和域账户设置强密码策略,定期更改账号密码
2. 及时更新操作系统和软件,使用杀毒软件定期查杀。
深信服解决方案
【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件,aES全新上线“动静态双AI引擎”,静态AI能够在未知勒索载荷落地阶段进行拦截,动态AI则能够在勒索载荷执行阶段进行防御,通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护;但建议更新最新版本,取的更好防护效果。
原文始发于微信公众号(深信服千里目安全技术中心):【勒索防护】Tellyouthepass利用国内知名视频监控厂商漏洞卷土重来
