【态势概述】
新型冠状病毒感染的肺炎疫情发生后,安天启动重大社会事件网络安全应急值守制度。截止2月18日,安天CERT发现和跟踪了多起利用新冠肺炎疫情相关信息进行网络攻击的案例,攻击者利用新冠肺炎疫情相关信息,传播勒索软件、挖矿木马、远控后门等多种类型的恶意代码,实施网络攻击。相关详细信息均及时上报了国家和地方相关主管部门,为加强政企客户和公众防范意识,将其中部分信息摘要发布。
【态势研判】
从安天发现和跟踪的案例看,并没有新的高级技术和0day漏洞在其中应用。其主要的特点就是利用疫情期间大家对于热点信息的高度关注,用内容引诱,采用钓鱼等方式加以侵害;传播勒索软件、木马、远控后门等。根据目前的案例,从技术上判断没有形成网络恶意代码蔓延态势的苗头。
【威胁概要】(专业人士参考,技术细节请参看下文)
最近的相关案例技术特点分布图:
图 疫情防控期间几类安全事件对ATT&CK的映射
【防范建议】疫情防控期间,一线抗疫机构和保障机构的四大便捷建议:
1、【专机专用】办公期间,注意工作用计算机近期内不要用于非工作目的,特别是不要浏览主要传播源社交媒体;
2、【不明不看】不要打开来源不明的任何内容。包括链接地址、文件、图片、邮件中的附件、短信中的短连接等;
3、【每天备份】及时备份重要文件;可以考虑每天备份,或在交接岗的时候备份。备份对于近期最容易带来直接损失的勒索软件,很有防范效果。
4、【求助专家】向找IT专业人士或网络安全专业人士求助
进一步的给相关一线IT保障人员的基础技术建议还包括个人用户及政企用户防护建议,详见文章第二部分。
【其他概要】
利用社会热点是社会工程学攻击的常用手段,公共卫生事件则是被经常被利用的。历史上通过蹭热度传播恶意代码事件屡见不鲜,例如,2014年犯罪团伙借助埃博拉病毒的信息“行骗”,针对关注埃博拉病毒的用户进行钓鱼邮件攻击;2015年网络攻击者借中东呼吸综合征(MERS)在韩国爆发而开展网络攻击活动等。此类事件往往借助用户对疫情的恐慌心理而盲目点击各种信息,以及疫情防控响应中网络安全防护能力难以及时有效跟进,SOHO办公缺少足够安全保障等机会而得手。今后一段时间,此类威胁事件和恶意代码仍会持续增加。本报告披露了相关恶意代码特征与样本功能,以供防范。安天应急响应团队24小时值守,协助用户提升网络防护能力,为战胜新冠肺炎疫情提供网络空间安全保障。
1.利用新冠肺炎疫情进行社工传播的样本分析
安天CERT监测到多起利用新型冠状病毒肺炎疫情相关热词传播恶意代码的事件,攻击者利用新冠肺炎疫情相关信息将恶意代码文件名伪装成“冠状病毒” “菲律宾各大楼冠状肺炎名单.exe” “新型冠状病毒肺炎病例全国已5名患者死亡;警惕!!.exe”等热门字样诱导用户运行。以下针对部分案例进行分析说明。
1.1勒索软件事件
安天CERT监测到两起利用新冠肺炎疫情相关信息的勒索软件事件,分别为Dharma/Crysis勒索软件家族和CXK_NMSL勒索软件。Dharma/Crysis勒索软件家族于2016年开始进行传播,利用社会热点作为传播信息和邮箱联系方式,版本变种不断迭代,本次事件中Dharma/Crysis勒索软件家族变种利用新冠肺炎疫情相关信息作为钓鱼邮件信息和RDP暴力破解等方式进行传播,并且使用“coronavirus@qq.com”作为联系邮箱。CXK_NMSL勒索软件最早于2019年7月被发现,至今更新到v3.3版本,该程序为恶搞性质的勒索软件,本次变种利用文件“中国武汉至印度旅客信息.xlsx .exe”进行传播,使用对应的解码工具即可完成解密。
1.1.1 Dharma/Crysis勒索软件利用疫情信息进行传播
Dharma/Crysis勒索软件最早被发现于2016年,持续活跃至今,其主要传播方式有三种:1.通过带有恶意文件的垃圾邮件进行传播;2.攻击可正常下载的程序和程序安装软件,以传播勒索软件;3.对远程桌面协议(remote desktop protocol,简称RDP)凭据展开针对性攻击,以进行传播。Dharma/Crysis勒索软件样本标签:
恶意代码名称 | Trojan/Win32.Occamy |
---|---|
原始文件名 | SAMPLE.EXE |
MD5 | 055d1462f66a350d9886542d4d79bc2b |
文件大小 | 1.01 MB (1,062,912字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2020-02-13 07:09:33 |
VT检测结果 | 45 / 71 |
图 1-1 加密文件后缀和勒索文本内容
图 1-2 勒索信内容
攻击者针对疫情相关信息作为传播内容,勒索信内容中攻击者使用“coronavirus@qq.com”作为联系邮箱,而“coronavirus”翻译为中文则是“冠状病毒”,加密文件使用“.ncov”作为后缀名(2020年2月11日,世界卫生组织宣布造成武汉肺炎疫情的新型冠状病毒正式名称为COVID-19,此前所使用的临时名称为2019-nCoV,攻击者以此作为诱饵手段)。该勒索软件运行后删除文件的卷影副本,以防止受害者通过这些备份还原其文件。采用高强度的“AES+RSA”加密算法对存储在计算机上的文件进行加密。加密完成后勒索软件会生成勒索信和勒索提示,要求受害者联系电子邮件并支付高额的勒索费以恢复其加密文件。加密后,勒索软件影响用户关键业务运行,在没有得到攻击者手中私钥的常规情况下无法解密。
1.1.2 CXK_NMSL勒索软件利用疫情信息进行传播
CXK_NMSL勒索软件最早被发现于2019年7月,其行为分析后判断为恶搞性质的勒索软件,本次事件中伪装成与新冠病毒疫情相关信息的文件进行传播,使用对应的解码工具即可完成解密。
CXK_NMSL勒索软件样本标签:
恶意代码名称 | Trojan/Ransom.Filecoder |
---|---|
原始文件名 | 中国武汉至印度旅客信息.xlsx .exe |
MD5 | 7f1f36b06f7839bd791da65bd5db59b3 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 5.72 MB (5,994,237字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 1972-12-25 13:33:23(伪造) |
数字签名 | 无 |
加壳类型 | Aspack |
编译语言 | Microsoft Visual C++ |
VT首次上传时间 | 2020-02-09 06:05:49 |
VT检测结果 | 51 / 71 |
样本解压后出现“2020.1.10-2020.1.23Information on Travelers from Wuhan China to India.xlsx .exe”,含有“中国武汉至印度旅客信息”字样,利用疫情期间的人员流动情况吸引关注,利用Windows系统默认隐藏已知文件扩展名的特点,伪装成电子表格文件进行传播。双击执行程序后,出现如下提示框。
图 1-3 提示框内容
程序执行后几乎所有类型的文件都被加密,在原文件名后追加名为“.cxk_nmsl”的后缀。
图 1-4 加密文件后缀
该程序为恶搞性质的勒索软件,使用对应的解码工具即可完成解密。
1.2 远控后门事件
安天CERT监测到多起利用肺炎疫情进行传播的远控木马。远程控制类木马通常可实现对被控机器的设备文件管理、键盘记录、远程桌面控制、系统管理、视频查看、语音监听、下载其他恶意代码等高危行为。
1.2.1 Farfli远程控制事件
该程序利用伪装成“菲律宾各大楼冠状肺炎名单.exe”的诱饵文件名进行传播,中招用户电脑会被攻击者完全控制。该远控木马为Farfli家族远程控制木马变种。Farfli家族木马的最新出现时间约在2007-2008年间,并且作者将源代码通过某种途径开源于互联网,导致各攻击组织在源代码的基础上衍生出诸多变种,以致Farfli家族木马达到了“泛滥成灾”的态势。安天在2018年针对该恶意代码家族进行详细的威胁描述与态势综合分析。
样本标签:
恶意代码名称 | Backdoor.Win32.Farfli.audj |
---|---|
原始文件名 | 菲律宾各大楼冠状肺炎名单.exe |
MD5 | 87ad582f478099a6d98bf4b2527d0175 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 196.00 KB (200704字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2020-01-20 09:16:22 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C++ 6.0 |
VT首次上传时间 | 2020-02-05 |
VT检测结果 | 52 / 71 |
远程C2: 143.92.**.***:2020。
1.2.2 大灰狼远程控制事件
该恶意代码利用伪装成“新型冠状病毒肺炎病例全国已5名患者死亡;警惕!!.exe”的诱饵文件名进行传播,中招用户电脑会被攻击者完全控制。通过安天CERT分析人员判定该远控木马为“大灰狼”远程控制木马变种,它是一款较为流行的远控工具,由于相关代码已经在黑产开源共享,有诸多攻击组织对其进行改造并发布了多款变种。
样本标签:
恶意代码名称 | Trojan[Backdoor]/Win32.Farfli |
---|---|
原始文件名 | 新型冠状病毒肺炎病例全国已5名患者死亡;警惕!!.exe |
MD5 | a30391c51e0f2e57aa38bbe079c64e26 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 1.63 MB (1,712,252 字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2020-01-20 09:16:22 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual Basic v5.0 |
VT首次上传时间 | 2020-01-27 |
VT检测结果 | 42 / 71 |
1.3挖矿木马事件
该样本为HTML格式,网页内容为武汉疫情相关新闻,网页源代码中内嵌被注释的用于COINHIVE挖矿的JS代码,恶意功能代码被注释,推测为测试样本。
样本标签:
恶意代码名称 | Trojan[Infect]/JS.Miner |
---|---|
原始文件名 | output.148421522.txt |
MD5 | 622b62ea434210fc9a5f770c4f5c00fd |
Title | China retardou ações que poderiam conter vírus para fugir de embaraços políticos - News Summed Up |
文件大小 | 75.77 KB (77,587 字节) |
文件格式 | HTML |
VT首次上传时间 | 2020-02-15 05:24:19 |
检测结果 | 25/60 |
样本为HTML格式,网页内容为葡萄牙语的虚假夸大的信息,网页源代码中内嵌被注释的用于COINHIVE挖矿的JS代码,钱包地址:Fb7y1DuXBfUT7sa1DIqlXp2bW9W5rFHX.
图 1-5 网页内容包括和冠状病毒相关信息
攻击者使用虚假夸大的信息制作网页内容,以达到吸引眼球,增加攻击成功率的目的。
图 1-6 文件内嵌挖矿相关代码
1.4恶意破坏事件
安天CERT监测到多起利用肺炎疫情进行恶意破坏的恶意程序。恶意程序通常删除用户重要文件,甚至导致系统不能正常启动。
1.4.1 恶意破坏事件1
样本标签:
恶意代码名称 | Trojan[Ransom]/Win32.Encoder |
---|---|
原始文件名 | 冠状病毒.exe |
MD5 | 674805b536e872a7b6412711699ee44f |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 16.00 KB (16384 bytes) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2020-01-25 12:14:13 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C++ |
VT首次上传时间 | 2020-01-25 |
VT检测结果 | 31 / 69 |
安天CERT监测发现利用新型冠状病毒肺炎疫情进行社工传播的破坏程序,其中一例被攻击者命名为“冠状病毒.exe”的可执行文件,运行之后会调用cmd执行指定命令,实现递归删除C盘和D盘数据,删除注册表HKLM\Software\内容分支。
1.4.2 恶意破坏事件2
样本标签:
恶意代码名称 | Trojan/Win32.Wacatac |
---|---|
原始文件名 | NCoV Virus.exe |
MD5 | f62aad0355de69417400498c7ff6fd03 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 44.50 MB (46658048字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2018-12-10 16:39:12 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C++ 12.0 |
VT首次上传时间 | 2020-02-13 |
VT检测结果 | 15 / 72 |
该样本以NCoV Virus.exe为文件名,运行样本后,屏幕中央会显示一个窗口,后台则以命令行的形式遍历磁盘删除文件,以达到恶意破坏的目的,无网络行为。
图 1-7 调用命令行破坏系统文件
1.5钓鱼邮件事件
安天CERT分析发现多起攻击者利用新型冠状病毒肺炎疫情作为诱饵,分发钓鱼邮件诱导用户点击邮件恶意附件或者点击邮件中的链接下载恶意软件。
1.5.1 邮件示例1:钓鱼邮件传播后门附件
利用新型冠状病毒肺炎疫情作为诱饵,诱导用户点击附件文件,该附件通过人工判定为后门程序。
图 1-8 邮件示例1:钓友邮件传播后门附件
钓鱼邮件附件样本标签:
恶意代码名称 | Trojan[Backdoor]/Win32.Nanobot |
---|---|
原始文件名 | Factory Contacts and Office Resumption.pif |
MD5 | 4202c9e8835552cd64f6a978fdf6baab |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 68.00 KB (69632 字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2014-07-29 10:17:58 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual Basic v5.0/v6.0 |
VT首次上传时间 | 2020-02-06 |
VT检测结果 | 53 / 71 |
1.5.2 邮件示例2:钓鱼邮件携带恶意链接
攻击者利用新型冠状病毒肺炎疫情作为诱饵,分发钓鱼邮件诱导用户点击邮件中的链接下载恶意软件,链接目前已经失效。
图 1-9 邮件示例2:钓鱼邮件携带恶意链接
1.5.3 邮件示例3:钓鱼邮件携带恶意链接
攻击者利用新型冠状病毒肺炎疫情作为诱饵,分发钓鱼邮件诱导用户点击邮件中的链接下载恶意软件,链接目前已经失效。
图 1-10 邮件示例3:钓鱼邮件携带恶意链接
1.5.4 邮件示例4:传播恶意PDF
利用武汉冠状病毒诱饵针对美国和英国个人的网络钓鱼活动,2020年1月28日发现的这一系列的钓鱼电子邮件,其中一封如下图所示,正文大意翻译为 “仔细阅读随附的有关冠状病毒传安全措施的文件,小措施可以拯救你”然后敦促目标下载一个恶意PDF文件,目的是用恶意软件载荷感染他们的计算机。
图 1-11 针对个人网站的钓鱼邮件
1.5.5 利用钓鱼邮件传播Emotet恶意代码
在2020年1月份,发现有网络攻击者在日本利用新型冠状病毒疫情发送相关恶意电子邮件和链接在日本传播Emotet恶意软件。攻击目标主要是政府部门和金融机构。攻击者以日本残障福利服务机构的名义发送电子邮件,内容主要是提供预防新型冠状病毒的措施,以及散布在日本的岐阜、鸟取和大阪府有冠状病毒患者的谣言,利用读者对新型冠状病毒的恐惧诱使其打开邮件附件中带有Emotet木马的Word文档,从而感染受害者的电脑。
Emotet是一种典型的恶意木马,最早发现是于2014年6月份,传播至今,已经出现了多个版本的迭代。主要通过垃圾邮件进行传投递,在早期的版本中通过JavaScript文件传播,后期版本通过Office文档文件携带混淆代码的恶意宏代码,并嵌套PowerShell脚本等手段从C2服务器下载后进行传播。该恶意代码原本是一种窃取银行登录凭证的木马,当受害者感染后,恶意代码进而收集用户凭据、浏览器历史记录及重要文档信息,然后打包并发送至攻击者控制的存储服务器中。后来用来分发各种其他类恶意软件。
安天威胁捕获分析体系于2014年11月30日捕获到该家族的首个样本,目前该家族有效样本数量(以HASH数统计)已经超过了10万个。
2.防范建议
安天提醒广大用户:
1、疫情防控期间办公应及时安装更新补丁,避免恶意代码利用漏洞入侵计算机;2、避免使用弱口令或统一的口令;3、避免打开社交媒体分享的来源不明的链接,给信任网站添加书签并通过书签访问;4、对非受信来源的邮件保持警惕,避免点击邮件中的链接或运行邮件附件;5、确保所有的计算机在使用远程桌面服务时采取VPN连接等安全方式,如果业务上无需使用远程桌面服务,建议将其关闭;6、安装具有主动防御能力的终端防护软件(如安天智甲),既可以实时监控邮件附件,同时也能够对勒索软件提供有效防护;7、及时备份重要文件,且文件备份应与主机隔离。
安天提醒政企用户:
远程办公终端安全方面
建议远程办公的员工在接入政企机构内部网络之前,对自身电脑、手机等终端进行自身安全检查。一方面,检查终端操作系统、常用软件是否处于最新版本,及时安装更新补丁,避免恶意代码利用漏洞入侵计算机;另一方面,安装安天智甲终端防御系统等相关终端安全防护产品,为远程办公终端提供恶意代码检测与查杀、勒索软件防护、高级威胁防护等安全保障。建议在异地员工逐步复工的背景下,从远程办公恢复到常态办公时,应恢复到原来办公网络应有的防护等级,需要进行相关的终端安全核查与业务衔接。
远程办公接入安全方面建议通过VPN加密方式接入办公网络环境,划分逻辑隔离的远程接入安全域,设置多因子认证方式,并限制通过远程接入员工的访问权限,对远程接入的客户端进行相应的安全检查,如是否安装终端安全防护软件等判断条件。
数据安全防护方面建议在确保终端环境安全的前提下,员工在相关工作文件进行交换的过程中,应采取必要的加密措施,企业侧应部署相应的文件深度分析产品,对通过企业虚拟局域网传输的文件进行威胁分析,以避免具备远程控制或信息窃取能力的恶意代码在办公网络中传播。建议政企机构安全管理员及时备份相关重要文件,并确保文件备份与主机隔离。
远程安全运维方面建议针对内网资源实施严格的远程安全运维管理措施,限定相关帐户的访问区域、访问权限等,并将安全日志的审计动作落到实处。
加强安全意识方面建议在特殊时期,对受可信来源的邮件保持警惕,避免点击邮件中的链接或运行邮件,将可疑的文件对象投放到企业部署的动态沙箱中进行分析鉴定(如安天追影威胁分析系统)。
安天CERT会跟踪并披露网络空间攻击者以疫情为诱饵投放恶意软件等事件。
3.协助用户提升网络防护能力,为战胜新冠肺炎提供网络空间保障
当前,新型冠状病毒感染肺炎疫情防控工作已进入关键时期,为有效保证医疗卫生系统的健康运行,安天推出了一系列举措。
专家团队24小时值守从1月27日开始,安天客服热线已经由客服值守改为专家团队值守,为全国医疗卫生系统提供免费安全咨询和应急响应服务。
智甲医疗行业版免费服务新型肺炎定点医院作为安天主打产品之一的安天智甲终端防御系统医疗行业版将面向全国收治新冠肺炎的定点医院提供两年免费服务。安天智甲终端防御不仅可以为政企内网用户提供端点安全防护,也可以有效提升SOHO办公的安全防护能力。可直接拨打安天400-840-9234电话获得相关产品使用指导。
发布三款安全工具免费版本安天发布三款安全工具的免费版本,Atool系统安全分析工具、Scan Tool精细化扫描工具和Action Scope 轻量级文件行为分析工具,以有效支撑疫情期间可能的应急响应与处置工作。三款安全工具下载及使用方法详见安天创意论坛:https://bbs.antiy.cn/forum.php?mod=forumdisplay&fid=22
应急服务方式
7*24小时专线:400-840-9234
应急信箱:cert@antiy.cn
安全技术专家团 值守响应!
4.参考链接
[1]揭开勒索软件的真面目
https://www.antiy.com/response/ransomware.html
[2]2017年RAT类型僵尸网络Farfli家族威胁发展态势报告
https://mp.weixin.qq.com/s/E_gednhTB7n-Bq_1khwC7g
[3]针对美国和英国个人的网络钓鱼活动
https://www.wired.com/story/coronavirus-phishing-scams/
[4]传播Emotet恶意软件
https://exchange.xforce.ibmcloud.com/collection/18f373debc38779065a26f1958dc260b