SOREBRECT勒索软件再进化，新型APT攻击

SOREBRECT勒索软件再进化，新型APT攻击

SOREBRECT所带来的新威胁

虽然文件加密的是SOREBRECT的终端，但事实上能够隐身才是其真正的利器—也就是SOREBRECT的自毁程序。恶意软件在终止其主要二进制文件之前，将代码注入到合法的系统进程（执行加密程序）中。SOREBRECT也会痛选择苦地删除受影响的系统的事件日志和其他可以提供取证信息的东西，例如系统上执行的文件，包括其时间戳（即appcompat / shimcache和prefetch）。这些删除阻止了分析，也阻止了SOREBRECT的活动被追踪。

当我们第一次发现SOREBRECT时，我们观察到一个比较低的分布情况，最初其主要集中在中东国家，如科威特和黎巴嫩。然而，到5月初，我们的传感器在加拿大，中国，克罗地亚，意大利，日本，墨西哥，俄罗斯，台湾和美国等地都检测到了SOREBRECT。受影响的行业包括制造业，科技和电信行业。鉴于ransomware的潜在影响力和盈利能力，如果SOREBRECT在世界其他地区继续扩散，那么作为服务在地下网络犯罪世界中被贩卖也就是理所当然的了。

勒索软件攻击频传，灾情遍布全球，在各大安全防护厂商积极提升防御之术的时候，恶意攻击者也对自身技艺持续更新，不断研发出新型的攻击手法。近日，亚信安全发现一波采用新型APT攻击的勒索软件侵害事件，攻击目标以企业为主，其中一家公司超过一百台的服务器惨被勒索软件加密，文档加密后扩展名均为“.Pr0tect”。亚信安全将该勒索软件命名为RANSOM_SOREBRECT.A和RANSOM_SOREBRECT.B。

其实，勒索病毒SOREBRECT起初仅存在于中东地区的黎巴嫩及科威特等国家，不过随着攻击地域不断扩张，目前中国、加拿大、克罗地亚、意大利、日本、墨西哥、俄罗斯、美国都能够见到其踪迹。新型APT攻击手法解析APT攻击手法：先取得管理者权限的帐号密码信息，再进行内网扩散这起勒索软件攻击事件采用完全不同的新型攻击手法。

加密网络共享

SOREBRECT也可以通过本地网络扰乱连接到受感染机器的其他计算机的文件。它可以通过扫描网络进行资产发现和枚举打开的共享，比如文件夹，内容或外围设备（即打印机），以便其他人可以通过网络轻松访问。一旦确定了一个活动主机，它会在发现该共享之后启动一个连接。认证将成功，如果它是一个公开的并且已经设置了共享，使得连接到它的任何人都具有对它的读写访问权限，那么共享也将被加密。

以往受害者多是收到恶意电子邮件，或是浏览被“黑”网站或恶意广告，遭到隐藏其中的勒索软件攻击。而本次破获的攻击事件是黑客从外部入侵，先取得拥有内网管理权限的帐号密码等敏感信息后，再在内网进行扩散活动，将重要服务器上的文档加密。攻击结束后它会删除系统上的事件记录（Event Log）和其他相关资讯，并且使用TOR洋葱路由器来隐藏其通信，使得网络安全防护部门无法有效调查攻击事件。经调查，亚信安全总结出以下一连串的内网扩散攻击步骤：

黑客利用PsExec工具进行上述攻击行为，而PsExec需要管理员权限才能执行，故黑客应已事先取得相关敏感信息。使用PsExec工具相较于远程桌面连接更容易使用，而且不易被察觉，此即为典型“进阶持续性渗透攻击”（Advanced Persistent Threat，简称APT攻击）事件中的内网扩散阶段行为模式。

如何防范？

鉴于SOREBRECT可能对企业的服务器和终端造成的潜在危害，IT /系统管理员和信息安全专业人员可以采取以下这些最佳做法来防御ransomware：

1、限制用户写入权限。将网络共享暴露给ransomware的一个重要因素是向用户授予完全权限。因此限制它们可以防止ransomware通过网络执行其文件加密例程。查看域中每个用户的权限是一个很好的起点。这需要评估Active Directory中的每个用户帐户/组，并提供必要的权限级别。我们还建议在网络上配置共享文件和文件夹的安全性（例如，不要设置任何人可以轻松访问的文件夹）。

2、限制PsExec的权限。PsExec通常用于企业网络，为系统管理员提供了与远程机器交互的灵活性。然而，正如其创建者所指出的那样，在网络犯罪分子手中，它可以提供一种在远程系统内使用受到侵害的凭据进行界面和横向移动的方式。这将最终使他们能够安装和传播诸如赎金的威胁。限制和保护使用诸如PsExec之类的工具和服务，并提供将其仅运行到真正需要它的管理员帐户的权限，有助于减轻滥用PsExec的威胁。

3、备份文件。网络犯罪分子往往使用重要和个人数据的潜在损失作为恐吓手段来强迫受害者支付赎金。因此公司和个人用户可以备份文件以消除其影响力：至少保留三份副本，其中两个存储在不同的设备中，另一个存储在非现场或安全位置。

4、保持系统和网络更新。确保操作系统，软件和其他应用程序是最新的补丁，阻止威胁将安全漏洞用作系统或网络的门户。这一问题已经被恶意软件（例如 WannaCry， UIWIX和Adylkuzz）所利用。另外在没有补丁的情况下使用虚拟补丁也可以考虑。

5、培养具有网络安全意识的员工队伍，内部培训和宣传有助于提高每个人的安全意识。像其他恶意软件一样，ransomware的入口通常通过电子邮件和恶意的下载或域名。所以组织单位应定期进行培训，确保员工对公司安全政策，程序和最佳做法有深入的了解。

6、部署多层安全机制。随着赎金在威胁形势的成熟，我们只能期望它在攻击方法和目标方面不要继续多样化。ransomware没有很好的利器，这就是为什么企业需要采取深入的防御性方法来安全地采取主动安全机制。数据分类和网络分割有助于减轻暴露时的损害。虽然高级沙箱可以提供隔离和分析未知或可疑文件的方法，但应用程序控制和行为监控也可以防止可疑文件执行并阻止对系统的不必要的修改。