安全動(dòng)態(tài)

近日，天融信諦聽實(shí)驗(yàn)室監(jiān)測(cè)到在野的Money Message勒索病毒，該組織是一種勒索軟件即服務(wù)(RaaS)模式犯罪團(tuán)伙，攻擊全球各行業(yè)知名企業(yè)，通過(guò)竊取并加密用戶數(shù)據(jù)、索要巨額贖金獲取巨大收益。

據(jù)該組織地下網(wǎng)絡(luò)博客稱，目前還有接近2百萬(wàn)條待公開的受害者記錄，目前受害者包括美國(guó)最大的藥房藥物公司PharMerica、微星國(guó)際（MSI）計(jì)算機(jī)硬件提供商、商業(yè)財(cái)產(chǎn)和意外傷害保險(xiǎn)服務(wù)商Golden Bear等。

經(jīng)驗(yàn)證，天融信下一代防火墻、EDR、自適應(yīng)安全防御系統(tǒng)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)、病毒過(guò)濾網(wǎng)關(guān)可精確檢測(cè)并查殺該勒索病毒，提供全面的安全保護(hù)，有效阻止該事件蔓延。

病毒分析

Money Message勒索病毒使用C++語(yǔ)言編寫，目前最早在野樣本出現(xiàn)在3月19日。

Money Message勒索病毒的運(yùn)行界面如下圖所示。首先枚舉并結(jié)束指定的進(jìn)程與服務(wù)，并搜索受害主機(jī)上的本地磁盤類型。

調(diào)用系統(tǒng)程序ssadmin.exe 執(zhí)行delete shadows /all /quiet命令刪除卷影副本，防止加密文件后被本地服務(wù)數(shù)據(jù)恢復(fù)備份。

之后創(chuàng)建多個(gè)線程執(zhí)行加密，占用CPU較高性能。由于采用的算法強(qiáng)度較高，加密文件的速度比較慢，如果在加密過(guò)程中發(fā)現(xiàn)并結(jié)束勒索可以挽回一定損失。

如下是勒索病毒運(yùn)行過(guò)程中內(nèi)存中會(huì)解密的配置文件，包含了加密過(guò)程的黑名單進(jìn)程與服務(wù)名稱，白名單文件目錄，網(wǎng)絡(luò)密鑰等重要信息。

此外勒索病毒在軟件中內(nèi)嵌了加密的白名單文件列表，包括desktop.ini、ntuser.dat、thumbs.db、iconcache.db、ntuser.ini、ntldr、bootfont.bin、ntuser.dat.log、bootsect.bak、boot.ini、autorun.inf。

和常規(guī)勒索病毒不同的是，Money Message在加密文件后并不會(huì)更改文件后綴，這直接導(dǎo)致一些可執(zhí)行文件在被加密后會(huì)出現(xiàn)格式報(bào)錯(cuò)，文本類文件可以直接打開但數(shù)據(jù)被加密出現(xiàn)亂碼。

在C盤釋放的money_message.log實(shí)則是勒索信，告知受害者繳納贖金的談判地址，并警告受害者如果在規(guī)定時(shí)間內(nèi)拿不到贖金，將會(huì)公布受害者的私密數(shù)據(jù)。

Money Message勒索病毒采用ECDH和ChaCha20算法加密用戶數(shù)據(jù)，該加密方式速度雖慢，但加密強(qiáng)度較高，目前還無(wú)法破解。

附錄：

Money Message勒索加密配置文件：

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/money_message_ransom_config.json

樣本IOC列表：

防護(hù)建議

及時(shí)修復(fù)系統(tǒng)及應(yīng)用漏洞，降低被Money Message勒索病毒通過(guò)漏洞入侵的風(fēng)險(xiǎn)。

加強(qiáng)訪問(wèn)控制，關(guān)閉不必要的端口，禁用不必要的連接，降低資產(chǎn)風(fēng)險(xiǎn)暴露面。

更改系統(tǒng)及應(yīng)用使用的默認(rèn)密碼，配置高強(qiáng)度密碼認(rèn)證，并定期更新密碼，防止弱口令攻擊。

定期進(jìn)行數(shù)據(jù)備份，并將這些備份數(shù)據(jù)保存在離線環(huán)境或單獨(dú)的網(wǎng)絡(luò)中。

安裝天融信安全產(chǎn)品加強(qiáng)防護(hù)，天融信下一代防火墻、EDR、自適應(yīng)、僵木蠕、病毒過(guò)濾網(wǎng)關(guān)，可有效防御該勒索病毒。

天融信產(chǎn)品防御配置

一、天融信下一代防火墻系統(tǒng)防御配置

1、通過(guò)訪問(wèn)控制策略加強(qiáng)禁用不必要的端口、服務(wù)，縮小資產(chǎn)暴露面，降低傳染風(fēng)險(xiǎn)；

2、開啟弱口令防護(hù)、暴力破解防護(hù)功能，可有效降低口令破解風(fēng)險(xiǎn);

3、升級(jí)到最新病毒特征庫(kù)，配置病毒防護(hù)策略，可有效檢測(cè)并阻斷勒索病毒傳播。

4、開啟聯(lián)動(dòng)功能，獲取天融信EDR、天融信病毒過(guò)濾網(wǎng)關(guān)、天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)等產(chǎn)品檢測(cè)結(jié)果，及時(shí)攔截傳播/感染源，控制網(wǎng)絡(luò)傳播范圍；

5、開啟資產(chǎn)防護(hù)功能，啟用資產(chǎn)行為基線功能，通過(guò)檢測(cè)資產(chǎn)異常行為，可及時(shí)發(fā)現(xiàn)隱藏攻擊行為并啟用策略進(jìn)行阻斷。

二、天融信EDR系統(tǒng)防御配置

1、通過(guò)微隔離策略加強(qiáng)訪問(wèn)控制，降低橫向感染風(fēng)險(xiǎn)；

2、開啟文件實(shí)時(shí)監(jiān)控功能，可有效預(yù)防和查殺該勒索病毒;

3、開啟系統(tǒng)加固功能，可有效攔截該勒索病毒對(duì)系統(tǒng)關(guān)鍵位置進(jìn)行破壞和篡改。

三、天融信自適應(yīng)安全防御系統(tǒng)防御配置

1、通過(guò)微隔離策略加強(qiáng)訪問(wèn)控制，降低橫向感染風(fēng)險(xiǎn)；

2、通過(guò)風(fēng)險(xiǎn)發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令，降低風(fēng)險(xiǎn)、減少資產(chǎn)暴露；

3、開啟病毒實(shí)時(shí)監(jiān)測(cè)功能，可有效預(yù)防和查殺該勒索病毒。

四、天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)配置

1、升級(jí)最新威脅情報(bào)庫(kù)，開啟威脅情報(bào)惡意文件檢測(cè)和捕獲功能，實(shí)時(shí)檢測(cè)和捕獲網(wǎng)絡(luò)中的勒索病毒；

2、開啟威脅情報(bào)日志記錄和報(bào)警功能；

3、可配置旁路阻斷或者天融信防火墻聯(lián)動(dòng)，攔截勒索病毒網(wǎng)絡(luò)傳播。

五、天融信病毒過(guò)濾網(wǎng)關(guān)防御配置

1、升級(jí)到最新病毒特征庫(kù)；

2、開啟HTTP、POP3、SMTP、FTP、IMAP等協(xié)議的病毒掃描檢測(cè)；

3、配置病毒檢測(cè)處置策略;

4、開啟日志記錄和報(bào)警功能。

天融信產(chǎn)品獲取方式

天融信下一代防火墻、過(guò)濾網(wǎng)關(guān)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)等產(chǎn)品特征庫(kù)下載地址: ftp://ftp.topsec.com.cn

天融信自適應(yīng)安全防御系統(tǒng)、天融信EDR企業(yè)版試用：可通過(guò)天融信各地分公司獲取。查詢網(wǎng)址：

http://gdxsl.cn/contact/

天融信EDR單機(jī)版下載地址：http://edr.topsec.com.cn