AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】REvil风云再起，APT式勒索爆发

2021-05-25

一. 事务配景

2021年5月，AG公司科技CERT监测到REvil/Sodinokibi勒索家族的多起运动，REvil为Ransomware Evil（又称Sodinokibi）的缩写，是一个私人勒索软件即服务（RaaS）组织。于2019年4月首次被发明，在一年内就已被用于一些着名网络攻击，2019年8月的PerCSoft攻击，2020年1月的Travelex勒索软件攻击，及2020年1月的Gedia Automotive攻击等事务。近期，该组织入侵了苹果公司的供应商，并窃取了苹果公司即将推出的产品神秘原理图。

大都网络清静专家以为，REvil是以前一个污名昭著但已驱逐的黑客团伙GandCrab的分支。该推测源于REvil在GandCrab阻止运营后连忙最先运动，且二者使用的勒索软件保存大宗共享代码。

AG公司(中国集团)·有限公司官网

二. 组织剖析

Sodinokibi运营商通常招聘黑客攻击者举行初始入侵。他们的攻击往往从熟悉的手艺最先，如带有鱼叉式垂纶链接或附件的恶意邮件、使用有用账户的RDP会见、已被入侵的web网站和误差使用等。并且还会使用一些对目的具有针对性的手艺。

Sodinokibi家族接纳勒索软件即服务的模式，意味着分发的攻击者将向运营商支付最新版本的使用费，并由勒索组织为他们运营基础设施。在Sodinokibi的设置中有两个字段，将跟踪客户端和安排勒索软件时代的特定客户端运动。

三. 攻击手法剖析

Sodinokibi病毒自己并不具备自动撒播功效，主要依赖攻击者手动撒播，但会通过扫描局域网共享资源，实验加密共享文件。勒索病毒团伙对特定目的举行恒久渗透，获取内网权限并控制要害生产设施（例如域控主机），然后通过特定方法（例如域战略、PsExec远程毗连执行等）在内网中撒播加密病毒主体程序。在入侵历程中，攻击者使用了许多类似APT组织的手段，如使用CobaltStrike等远控木马恒久驻留、网络敏感文件、白加黑实现勒索病毒免杀等。

某案例中，攻击者通过powershell下令禁用Windows Defender的实时�；ぃ�

通过共享拷贝与wmic下令，将勒索病毒样本拷贝到目的主机并执行：

或者通过域控下发组战略的方法，将勒索病毒样本拷贝到终端并执行。勒索病毒本体具有有用数字署名，并接纳了白加黑的方法，逃避杀毒软件查杀。

攻击者还会使用powershell或MSBUILD下令执行文件加载CobaltStrike 远控木马以实现恒久权限维持。

病毒自己并不具备系统驻留功效，不会读写被加密终端的任何启动项。但在一些案例中发明，部分攻击者通过批处置惩罚的方法新建准时妄想使命来一直启动加密程序，以便抵达熏染新文件、新存储介质的目的。

REvil家族在渗透的历程中除了投放勒索病毒，还会网络上传被攻击系统的文件。某案例中，勒索信提到“我们还从您的服务器下载了大宗敏感数据，若是您不付款，我们将会把您的文件上传到我们的公共博客”。

在外地开启网络共享，并通过psexec工具，使用通用口令，批量将users.ps1拷贝到目的主机。

使用psexec下令，批量执行拷贝到目的主机的users.ps1文件

攻击者会通过powershell剧本搜集系统敏感文件并上传。剧本作用：网络目的主机120天内建设的指定后缀文件，并上传到目的主机共享目录。

通过注册表信息，确认攻击者装置了TntDrive客户端，并将云存储工具挂载到外地磁盘U(攻击者上传文件的共享目录)。

四. CobaltStrike剖析

原始powershell代码使用powershell base64编码

解码后内容如下：

举行二次解码，获取到powershell真实代码，功效为将剧本中的数据举行异或，加载到内存中执行。此剧本为Cobaltstrike powershell形式的payload。

将加载到内存中的内容恢复成二进制文件，可以获取到CS beacon的回连地点。通过回连地点发明，此shellcode是CS的SMB beacon，主要用于内网渗透。

五. 勒索样天职析

5.1 释放本体

样本入口如下：

会释放出一个exe和一个dll光暂时目录，并启动历程MsMpEng.exe

释放的MsMpEng.exe文件自己无恶意功效，主要用于给Mpsvc.dll提供运行情形，病毒的所有行为都在该dll文件中。接口为Mpsvc.dll的导出函数ServiceCrtMain：

导出函数ServiceCrtMain使命是

PE如下：

还原PE标记，使用PE文件剖析器可正常剖析，但导入表被加密，厥后发明病辣手动挪用要使用的API（动态解密）

该PE文件为病毒本体，到此病毒本体释放完成。

病毒本体概览

5.2 病毒设置表

该勒索病毒有张设置表，该设置表单主要纪录了病毒加密行为以及勒索文本如下：

文件目录扫除："fld":["$windows.~bt","intel","google","windows","torbrowser","$windows.~ws","applicationdata","mozilla","windows.old","perflogs","appdata","msocache","boot",

"systemvolumeinformation","programfiles","programfiles(x86)","$recycle.bin","programdata"],

文件扫除：

"fls":["thumbs.db","bootsect.bak","desktop.ini","ntldr","ntuser.dat","autorun.inf","iconcache.db","boot.ini","bootfont.bin","ntuser.ini","ntuser.dat.log"],
文件扩展名扫除："ext":["exe","mod","shs","cpl","idx","diagcfg","ico","nomedia","sys","cmd","key","msp","msstyles","bin","rom","bat","cur","diagcab","ldf","dll","scr","hta","rtp","hlp","theme","msi","com","prf","spl","wpx","deskthemepack","diagpkg","mpa","icns","ps1","drv","ics","nls","adv","msu","cab","lnk","ocx","ani","themepack","icl","msc","386","lock"]},

文件目录移除："wfld":["backup"],

停用服务清单："prc":["mydesktopqos","thebat","synctime","onenote","mspub","dbsnmp","isqlplussvc","tbirdconfig","oracle","xfssvccon","wordpad","agntsvc","sqbcoreservice","ocautoupds","firefox","msaccess","thunderbird","excel","outlook","encsvc","visio","powerpnt","ocomm","steam","mydesktopservice","ocssd","sql","winword","dbeng50","infopath"]

杀死服务清单："svc":["veeam","sql","svc$","backup","sophos","vss","memtas","mepocs"]

勒索文本：

[+] Whats Happen? [+]

Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension u89416xh.

By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).

[+] What guarantees? [+]

......................................

并且病毒会判断所熏染盘算机使用的语言，如下：

使用函数GetUserDefaultUILanguage,GetSystemDefaultUILanguage返回的ID和列表框中的ID差别，那么为熏染目的，通过此处来看修改非目的盘算机语言可扫除熏染该病毒。病毒会建设互斥体确保唯一运行，病毒会多次检查自己的句柄权限是否为治理员权限，若是权限不敷将会重新以治理员权限重新启动自己，并且激活相关权限。

5.3 主体功效

5.3.1 外地加密

病毒现实的行为是在Sub_F4476F_Start函数中，如下：

病毒首先清空接纳站，关闭清单中的相关服务，杀死清单中历程，然后在激活相关权限的情形下，最先加密功效。主要使用FindFirstFile 和FindNextFile来查找所有文件，使用salsa20+AES的算法举行文件加密。

在加密的历程若是发明文件为目的熏染文件，但被历程占用，病毒会挪用terminateProcesss竣事相关历程，再举行加密。

加密函数如下：

网络磁盘加密

病毒也会同时对网络磁盘中的文件举行加密，如下：

5.3.2 实验加密局域网共享文件

在加密的历程中病毒有枚举局域网盘算机的行为，主要是查找局域网共享，实验加密共享文件。

5.4 显示桌面勒索配景

在加密功效完成以后会通过设置注册表设置桌面配景为勒索图片

六. 勒索软件提防建议

l 增强企业员工清静意识培训，禁止易翻开生疏邮件或运行泉源不明的程序；

l 只管扫除危险端口对外开放，使用IPS、防火墙等装备对危险端口举行防护（445、139、3389等）；

l 开启Windows系统防火墙，通过ACL等方法，对RDP及SMB服务会见举行加固；

l 通过Windows组战略设置账户锁定战略，对短时间内一连上岸失败的账户举行锁定；

l 增强主机账户口令重漂后及修改周期治理，并只管扫除泛起通用或纪律口令的情形；

l 修改系统治理员默认用户名，扫除使用admin、administrator、test等常见用户名；

l 装置具备自�；さ姆啦《救砑�，避免被黑客退出或竣事历程，并实时更新病毒库；

l 实时更新操作系统及其他应用的高危误差清静补��；

l 准时对主要营业数据举行备份，避免数据破损或丧失。

七. 产品防护

针对此类事务，AG公司科技网络入侵防护/检测系统(IPS/IDS)、综合威胁探针（UTS）与下一代防火墙（NF）已宣布规则升级包。请相关用户升级至最新版本规则，以形成清静产品防护能力。产品规则版本号如下：

产品	升级包版本	升级包下载链接
IPS/IDS规则包	5.6.9.25418 5.6.10.25418 5.6.11.25418	http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.9 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11
UTS规则包	5.6.10.25418	http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0
NF规则包	6.0.1.850 6.0.2.850	http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.1 http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.2

八. IOCs

835f242dde220cc76ee5544119562268

7d1807850275485397ce2bb218eff159

8cc83221870dd07144e63df594c391d9

主机特征：

%TEMP%\MsMpEng.exe

%TEMP%\Mpsvc.dl

声明

本清静通告仅用来形貌可能保存的清静问题，AG公司科技不为此清静通告提供任何包管或允许。由于撒播、使用此清静通告所提供的信息而造成的任何直接或者间接的效果及损失，均由使用者自己认真，AG公司科技以及清静通告作者不为此肩负任何责任。

AG公司科技拥有对此清静通告的修改息争释权。如欲转载或撒播此清静通告，必需包管此清静通告的完整性，包括版权声明等所有内容。未经AG公司科技允许，不得恣意修改或者增减此清静通告内容，不得以任何方法将其用于商业目的。

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.05.17-2021.05.23）

>>下一篇

【威胁通告】VMware VCenter Server远程代码执行误差（CVE-2021-21985）通告

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号