Ransomware – SamSam

概括

國土安全部 (DHS) 國家網絡安全和通信集成中心 (NCCIC) 和聯邦調查局 (FBI) 正在發布此活動警報,以通知計算機網絡防御者有關 SamSam 勒索軟件(也稱為 MSIL/Samas.A)的信息。具體來說,該產品分享了對網絡攻擊者用來部署該勒索軟件的漏洞的分析。此外,本報告還提供了預防和緩解建議。

SamSam 參與者針對多個行業,包括關鍵基礎設施中的一些行業。受害者主要位於美國,但也位於國際上。針對組織的網絡範圍感染比單個系統感染更有可能獲得大筆贖金。提供基本功能的組織迫切需要快速恢復運營,並且更有可能支付更大的贖金。

攻擊者利用 Windows 服務器獲得對受害者網絡的持久訪問,並感染所有可訪問的主機。根據 2016 年初受害者的報告,網絡攻擊者使用 JexBoss Exploit Kit 訪問易受攻擊的 JBoss 應用程序。自 2016 年年中以來,FBI 對受害者機器的分析表明,網絡攻擊者使用遠程桌面協議 (RDP) 來持續訪問受害者的網絡。通常,攻擊者要么使用蠻力攻擊,要么使用竊取的登錄憑據。檢測 RDP 入侵可能具有挑戰性,因為惡意軟件是通過批准的接入點進入的。

在獲得對特定網絡的訪問權限後,SamSam 參與者會提升管理員權限,將惡意軟件投放到服務器上,並運行可執行文件,所有這些都無需受害者的操作或授權。雖然許多勒索軟件活動依賴於受害者完成操作,例如打開電子郵件或訪問受感染的網站,但 RDP 允許網絡攻擊者以最少的檢測感染受害者。

對受害者網絡上發現的工具的分析表明,成功的網絡攻擊者從已知的暗網市場購買了幾個被盜的 RDP 憑據。FBI 對受害者訪問日誌的分析表明,SamSam 參與者可以在購買憑據後的數小時內感染網絡。在修復受感染的系統時,一些受害者在他們的網絡上發現了與 SamSam 無關的可疑活動。此活動可能表明受害者的憑據被盜、在暗網上出售並用於其他非法活動。

SamSam 演員在加密計算機上留下贖金票據。這些說明指導受害者通過 Tor 隱藏服務站點建立聯繫。在以比特幣支付贖金並建立聯繫後,受害者通常會收到下載加密密鑰和工具以解密其網絡的鏈接。

技術細節

NCCIC 建議組織審查以下 SamSam 惡意軟件分析報告。這些報告代表了四種 SamSam 惡意軟件變種。這不是一個詳盡的清單。

有關勒索軟件的一般信息,請參閱https://www.us-cert.gov/security-publications/Ransomware 上的 NCCIC 安全出版物。

緩解措施

DHS 和 FBI 建議用戶和管理員考慮使用以下最佳實踐來加強其組織系統的安全狀況。系統所有者和管理員應在實施之前審查任何配置更改,以避免產生不必要的影響。

  • 審核使用 RDP 進行遠程通信的系統的網絡。如果不需要,請禁用該服務或安裝可用補丁。用戶可能需要與他們的技術供應商合作,以確認補丁不會影響系統進程。
  • 驗證所有具有公共 IP 的基於雲的虛擬機實例都沒有開放的 RDP 端口,尤其是端口 3389,除非有有效的商業理由保持開放的 RDP 端口。將任何具有開放 RDP 端口的系統置於防火牆之後,並要求用戶使用虛擬專用網絡 (VPN) 來訪問該系統。
  • 啟用強密碼和帳戶鎖定策略以抵禦暴力攻擊。
  • 在可能的情況下,應用兩因素身份驗證。
  • 定期應用系統和軟件更新。
  • 保持良好的後備策略。
  • 啟用日誌記錄並確保日誌記錄機制捕獲 RDP 登錄。保留日誌至少 90 天,並定期查看它們以檢測入侵企圖。
  • 創建基於雲的虛擬機時,請遵循雲提供商的遠程訪問最佳實踐。
  • 確保需要 RDP 訪問的第三方遵循有關遠程訪問的內部政策。
  • 盡量減少所有控制系統設備的網絡暴露。在可能的情況下,在關鍵設備上禁用 RDP。
  • 調節和限制外部到內部的 RDP 連接。當需要外部訪問內部資源時,請使用安全方法,例如 VPN。當然,VPN 的安全性取決於連接的設備。
  • 限制用戶安裝和運行不需要的軟件應用程序的能力(權限)。
  • 掃描並刪除可疑的電子郵件附件;確保掃描的附件是它的“真實文件類型”(即擴展名與文件頭匹配)。
  • 禁用文件和打印機共享服務。如果需要這些服務,請使用強密碼或 Active Directory 身份驗證。

有關惡意軟件事件預防和處理的更多信息,請參見美國國家標準與技術研究院的特別出版物 800-83,台式機和筆記本電腦的惡意軟件事件預防和處理指南[1]

聯繫信息

要報告入侵並請求事件響應或技術援助資源,請通過以下信息聯繫 NCCIC、FBI 或 FBI 的網絡部門:

回饋

國土安全部努力使本報告成為我們合作夥伴的寶貴工具,並歡迎就如何改進本出版物提供反饋。您可以通過以下 URL 回答有關此報告的幾個簡短問題來提供幫助:https : //www.us-cert.gov/forms/feedback

參考

[1] NIST SP 800-83:桌面惡意軟件事件預防和處理指南……

修訂

2018 年 12 月 3 日:初始版本

來源

https://us-cert.cisa.gov/ncas/alerts/AA18-337A

Back To Top
error: 內容被保護 !!