曾在2020年造成國內(nèi)多家醫(yī)療機構(gòu)業(yè)務(wù)癱瘓，Makop勒索病毒這次將“魔爪”伸向了自來水公司。一旦病毒層層入侵企業(yè)內(nèi)網(wǎng)，導(dǎo)致大規(guī)模停水，不止自來水公司，更包括每一個人，都攤上大事了！

　　前段時間，深信服終端安全團隊敏銳地發(fā)現(xiàn)了這起勒索未遂的攻擊事件，上一起勒索未遂事件點擊藍字了解：《一次云端排查讓勒索病毒當眾“伏法” | 反勒索病毒暗戰(zhàn)第一期》，在本次勒索事件中，攻擊者試圖通過RDP暴力破解入侵某自來水企業(yè)內(nèi)網(wǎng)投放勒索病毒。但在深信服勒索病毒防護方案組成的銅墻鐵壁面前，勒索攻擊被迅速扼殺在“搖籃”中。

　　看到這里，你一定很好奇：深信服勒索病毒防護方案是如何用“火眼金睛”揪出病毒的？Makop勒索病毒到底有多“不講武德”？莫慌，容信服君一一道來……

　　前些日子，深信服終端安全專家君哥在全網(wǎng)進行日常排查時，用戶一臺終端檢測與響應(yīng)平臺EDR的掃描日志引起了她的注意。

　　仔細檢查之后，果然有“貓膩”。檢出的威脅詳情如下：

　　為了進一步確認該威脅文件是否為真正的勒索病毒，深信服安全專家又作了進一步的驗證。

　　利用哈希值從外部威脅情報獲取到病毒樣本進行本地驗證，確認為真實的勒索病毒檢出。

　　但需要注意的是，云端數(shù)據(jù)只上傳病毒查殺日志，包括設(shè)備ID、查殺時間、病毒文件哈希、查殺路徑，不會上傳客戶文件，未告警的正常文件也不會上傳任何信息，不會造成敏感信息泄露。

　　深信服安全專家排查了對應(yīng)的 EDR 管理平臺日志，發(fā)現(xiàn)該查殺記錄來源于一臺數(shù)據(jù)傳輸服務(wù)器，經(jīng)確認該服務(wù)器對外網(wǎng)映射了 RDP 服務(wù)。

　　其中，靜態(tài)文件檢測和勒索行為檢測均進行了告警，并對勒索病毒文件進行了自動處置：

　

　　緊接著，深信服安全專家又繼續(xù)查看了暴力破解日志，發(fā)現(xiàn)該終端一直在遭受持續(xù)的暴力破解攻擊，日志中可明顯的判斷出利用了暴力破解字典在進行爆破：

　　

　　

　　此時，幾乎可以判定是有攻擊者利用RDP暴力破解的方式，意圖人工投放勒索病毒對該數(shù)據(jù)傳輸服務(wù)器進行加密。

　　通過檢查用戶EDR管理平臺策略發(fā)現(xiàn)，該用戶已開啟文件實時監(jiān)控、開啟勒索防護自動處置、開啟暴力破解自動封堵、開啟RDP登錄保護功能，但該功能只覆蓋了周一至周五，而勒索病毒檢測日志在周六，才讓勒索病毒有了可乘之機。

　　此外，根據(jù)EDR日志告警的勒索病毒上傳目錄，查看到該目錄下還遺留有攻擊者上次的工具痕跡，其中DefenderControl是用于關(guān)閉Windows安全策略，也是勒索病毒攻擊中常用的工具，everything則是一款正常的文件搜索工具，沒有實際威脅，而ClearLock則是一款鎖屏軟件：

　　

　

　　但由于服務(wù)器系統(tǒng)安全日志都被覆蓋，無法溯源到最初的入侵IP。

　　所幸，由于用戶開啟了EDR管理平臺策略，并且深信服EDR也在發(fā)現(xiàn)威脅時第一時間進行了阻斷和告警，聯(lián)動響應(yīng)AF等其他安全產(chǎn)品，對整體終端安全防護進行了升級和加固，用戶數(shù)據(jù)毫發(fā)未損。

　　深信服安全專家通過分析勒索病毒樣本信息和代碼結(jié)構(gòu)，確認此次攻擊病毒為Makop勒索。就在2020年，國內(nèi)已有多家醫(yī)療機構(gòu)感染Makop勒索病毒，遭受服務(wù)器加密，造成業(yè)務(wù)癱瘓，影響巨大。

　　Makop勒索是一款具有交互功能的勒索病毒，與常見勒索病毒不同的是，它可以通過界面進行交互，攻擊者在使用時可以自主對加密的方式進行選擇，堪稱勒索病毒發(fā)展史上的一次“進化”。

　　Makop勒索把需要用到的關(guān)鍵資源都進行了加密，在需要使用時再逐一使用Windows Crypt API進行解密，如刪除磁盤卷影的CMD命令：

　　vssadmin delete shadows /all /quiet.wbadmin delete catalog -quiet.wmic shadowcopy delete.exit

　　解密需要結(jié)束的進程列表，結(jié)束進程，以解除占用，確保能夠順利地進行數(shù)據(jù)加密：

　　msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;agntsrvc.exe;mydesktopqos.exe;isqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;encsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;excel.exe;infopath.exe;msaccess.exe;mspub.exe;onenote.exe;outlook.exe;powerpnt.exe;steam.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe

　　Makop選擇加密的文件會跳過以下文件后綴或文件名，可以看出大部分是曾經(jīng)使用過的加密后綴，還有會跳過可執(zhí)行文件和釋放的勒索信息文件，以及部分系統(tǒng)配置文件：

　　CARLOS、shootlock、shootlock2、1recoesufV8Sv6g、1recocr8M4YJskJ7、btc、KJHslgjkjdfg、origami、tomas、RAGA、zbw、fireee、XXX、element、HELP、zes、lockbit、captcha、gunga、fair、SOS、Boss、moloch、BKGHJ、WKSGJ、termit、BBC、dark、id2020、arch、Raf、ryan、zxz、exe、dll、makop

　　boot.ini、bootfont.ini、ntldr、ntdetect.com、io.sys、readme-warning.txt、desktop.ini

　　同大部分的勒索病毒一樣，Makop采用的也是AES+RSA的方式進行加密，即執(zhí)行時隨機生成AES密鑰對文件進行加密，再使用RSA公鑰對AES密鑰進行加密，只有拿到攻擊者的RSA私鑰，才能夠進行解密。

　　

　　針對此次勒索病毒入侵事件，深信服提出了一些實用性的建議：

　　就目前而言，一旦被勒索病毒攻擊幾乎無方破解，關(guān)鍵在預(yù)防，同時企業(yè)也要意識到網(wǎng)絡(luò)安全建設(shè)在當前的網(wǎng)絡(luò)攻防環(huán)境下的重要性。最后，深信服帶大家回顧下日常預(yù)防的8個『民間偏方』：

　　作為國內(nèi)前沿的網(wǎng)絡(luò)安全廠商，深信服多年來持續(xù)投入勒索防護研究，內(nèi)容涵蓋黑產(chǎn)洞察、病毒研究、情報追蹤、投放分析，并沉淀出完整覆蓋突破邊界、病毒投放、加密勒索、橫向傳播等勒索攻擊鏈的系統(tǒng)性解決方案，目前已協(xié)助1000+各行業(yè)用戶有效構(gòu)建起了勒索病毒防護最佳實踐。