閱識風(fēng)云是華為云信息大咖，擅長將復(fù)雜信息多元化呈現(xiàn)，其出品的一張圖(云圖說)、深入淺出的博文(云小課)或短視頻(云視廳)總有一款能讓您快速上手華為云。更多精彩內(nèi)容請單擊此處。

摘要：HSS針對Cactus勒索病毒的解析與防護建議。

本文分享自華為云開發(fā)者社區(qū) 《【云小課】| 安全第15課 HSS對近期Cactus勒索病毒的分析》，原文作者：閱識風(fēng)云

近期熱點勒索事件

2023年首次發(fā)現(xiàn)的勒索病毒Cactus已迅速在數(shù)字領(lǐng)域蔓延，利用漏洞(尤其是VPN的漏洞)獲得未經(jīng)授權(quán)的訪問并在受損的基礎(chǔ)設(shè)施中建立據(jù)點，采用動態(tài)加密方法并利用許多工具和技術(shù)來確保其惡意負載有效且隱蔽地傳遞，攻擊領(lǐng)域多種多樣，主要針對從事制造和專業(yè)服務(wù)業(yè)務(wù)的組織，并已經(jīng)攻擊達到9個國家。

Cactus勒索病毒自2023年3月份開始活動以來一直很活躍，主要針對大型商業(yè)實體進行大量勒索。它采用雙重勒索策略，在加密前竊取敏感數(shù)據(jù)，并在其網(wǎng)站威脅公開數(shù)據(jù)。Cactus勒索病毒利用Fortinet VPN漏洞、Qlik Sense公開暴露的安裝漏洞和惡意廣告?zhèn)鞑サ腄anabot惡意軟件，以獲取初始訪問權(quán)限，然后使用批處理腳本解壓7-zip文件來提取勒索病毒可執(zhí)行程序，并試圖刪除殺毒軟件以逃避檢測，它會在執(zhí)行加密文件惡意代碼前刪除可執(zhí)行程序，加密后，它會附加“.CTS[數(shù)字]”擴展名，如：1.jpg.CTS1、2.jpg.CTS1、3.jpg.CTS2等，在被加密的文件夾下，會有名為“cAcTuS.readme.txt”的勒索信。

Cactus勒索病毒：初始入侵階段

Cactus勒索病毒可能采用的攻擊手法包括：通過Fortinet VPN漏洞、Qlik Sense漏洞、流氓軟件植入木馬Danabot等獲取初始訪問權(quán)限。

Cactus勒索病毒：感染與執(zhí)行階段

Cactus與常見的勒索軟件一樣，在感染階段會執(zhí)行持久化、提權(quán)、橫向移動、探測內(nèi)網(wǎng)敏感數(shù)據(jù)、禁用安全軟件等操作。Cactus在獲取初始訪問權(quán)限后，通過計劃任務(wù)建立SSH后門來維持權(quán)限；使用SoftPerfect、Network Scanner（netscan）、PSnmap.ps1以及powershell命令掃描探測內(nèi)網(wǎng)主機；同時，安裝合法遠程訪問軟件Splashtop、AnyDesk、SuperOps RMM來控制失陷主機并向其植入惡意文件。

Cactus通過竊取瀏覽器配置文件中的憑據(jù)和LSASS進程中的憑據(jù)來進行權(quán)限提升，以及后續(xù)的橫向移動，在失陷主機上還發(fā)現(xiàn)了用來加密通信的Chisel和攻擊工具Cobalt Strike。在獲取到足夠的權(quán)限后，植入的惡意文件通過批處理腳本執(zhí)行惡意操作，并用msiexec來卸載安全軟件。

Cactus在最后階段使用Rclone等工具竊取數(shù)據(jù)，竊取完成后，開始加密失陷主機的數(shù)據(jù)。PowerShell腳本TotalExec.ps1使用PsExec部署加密器，批處理腳本f1.bat創(chuàng)建用戶并賦予管理員權(quán)限，配置系統(tǒng)以安全模式啟動，配置用戶在進入系統(tǒng)時自動登錄，并在RunOnce注冊表中添加執(zhí)行第二個批處理腳本f2.bat，然后5秒后強制重啟系統(tǒng)并刪除自己。

圖1 f1.bat腳本

圖2 f2.bat腳本（負責(zé)加密失陷主機的文件）

f2.bat腳本移除安全模式啟動的配置，解壓7z文件得到勒索病毒加密組件，然后刪除7z壓縮包以及7.exe程序，然后通過PsExec在內(nèi)網(wǎng)掃描入侵的主機上執(zhí)行加密組件。

Cactus勒索病毒可執(zhí)行程序有-s、-r、-i、-l、-e、-c、-t、-d、-f等參數(shù)可選，不同的參數(shù)對應(yīng)不同的行為。主要有下面3種模式：

（1）安裝模式

通過在命令行中傳遞“-s”標(biāo)志來觸發(fā)，可執(zhí)行文件會將自己復(fù)制到C:\ProgramData{Victim_ID}.exe，然后將在C:\ProgramData\ntuser.dat中寫入一個配置文件，其中包含原始可執(zhí)行文件的路徑。然后，它會創(chuàng)建并執(zhí)行一個計劃任務(wù)來運行程序C:\ProgramData\{Victim_ID}.exe。

（2）讀取配置模式

通過傳遞“-r”標(biāo)志，它進入讀取配置模式，讀取ntuser.dat文件，提取一些字段，使用它們執(zhí)行不同的操作，然后退出。

（3）加密模式

Cactus勒索病毒搜索文件系統(tǒng)，并開始使用線程加密多個文件。實現(xiàn)對多個文件進行加密。加密文件的擴展名為“.cts”，其中的“int”可以用任何隨機數(shù)代替。Cactus采用雙重勒索策略會把受害者的文件竊取再加密這些文件。Cactus采用AES+RSA算法加密文件，加密完成后，釋放勒索信，命名為 “CAcTuS.readme.txt”。

我們可以從以下流程圖中觀察Cactus勒索病毒執(zhí)行流程。

Cactus勒索病毒：數(shù)據(jù)外泄階段

Cactus勒索病毒會使用合法的云同步工具RClone等，以上傳竊取的數(shù)據(jù)。

勒索病毒防護方案

按照勒索病毒攻擊的3個階段，進行有針對性的防護。攻擊階段包括：勒索病毒攻擊入侵、勒索病毒橫向擴散和勒索加密。

在攻擊入侵前進行事前識別與防御，可有效收斂攻擊面；在攻擊入侵及橫向移動時進行告警，可及時發(fā)現(xiàn)勒索病毒入侵行為；在產(chǎn)生告警時進行自動處置，可有效阻斷勒索病毒的加密行為和擴散；在勒索加密發(fā)生后進行數(shù)據(jù)恢復(fù)，可以保障業(yè)務(wù)及時恢復(fù)。

1. 事前識別與防御

華為云主機安全服務(wù)HSS對勒索攻擊提供全鏈路的安全防護，攻擊入侵前，可使用HSS提供的風(fēng)險預(yù)防功能，包含基線檢查、漏洞管理、容器鏡像安全掃描，對企業(yè)資產(chǎn)進行梳理，對服務(wù)器的各項服務(wù)進行基線檢查，以及對服務(wù)器運行的各類應(yīng)用進行漏洞掃描，及時修復(fù)漏洞，收斂攻擊面，降低服務(wù)器被入侵風(fēng)險。

步驟1：進入“基線檢查”頁面，處理配置風(fēng)險、弱口令風(fēng)險等。

?

步驟2：進入“漏洞管理”頁面，掃描并修復(fù)漏洞。

2. 事中威脅檢測

黑客進行勒索首先需要獲取邊界服務(wù)器的權(quán)限，在攻擊過程運用多種攻擊手段進行入侵，所以需要在黑客入侵過程，對各類入侵攻擊進行及時告警、阻斷，華為云主機安全服務(wù)HSS支持對暴力破解、漏洞利用、Webshell、反彈shell、病毒、木馬、Rootkit等的檢測。

Cactus勒索攻擊的常見戰(zhàn)術(shù)行為列表及華為云主機安全HSS對應(yīng)檢測能力項如下表，HSS提供對攻擊路徑全鏈路的檢測：

針對勒索病毒，華為云主機安全服務(wù)HSS提供了多維度的檢測能力，包括AV病毒引擎檢測、誘餌文件檢測、HIPS主機入侵規(guī)則檢測。AV病毒引擎根據(jù)勒索病毒特征進行檢測，誘餌文件根據(jù)勒索病毒加密行為進行檢測，HIPS引擎對勒索病毒常見異常行為進行檢測。

3. 事中監(jiān)控與處置

在華為云主機安全服務(wù)HSS發(fā)現(xiàn)勒索病毒和勒索加密行為后，您可以手動處置，也可以在策略中開啟對勒索病毒的自動隔離查殺，防止勒索病毒擴散蔓延。

4. 事后恢復(fù)

若服務(wù)器被勒索病毒加密，事后需要及時通過備份恢復(fù)數(shù)據(jù)，分析被入侵的原因，然后進行安全加固，避免再次被入侵勒索。華為云主機安全服務(wù)HSS支持一鍵恢復(fù)數(shù)據(jù)，開啟勒索病毒防護策略后，可以對業(yè)務(wù)數(shù)據(jù)進行便捷地備份，服務(wù)器被勒索病毒入侵后，可以通過云服務(wù)器備份進行數(shù)據(jù)恢復(fù)，降低勒索病毒帶來的損失。

勒索病毒防護建議

通過分析Cactus勒索病毒我們可以看到勒索病毒攻擊的全部路徑，包括攻擊入侵、橫向移動、勒索加密3大階段。針對勒索病毒攻擊的特點，可以在事前識別與防御、事中威脅檢測、事中監(jiān)控與處置和事后恢復(fù)4個階段進行檢測與防御，將勒索病毒的危害降到最低。

趕緊戳這里，體驗華為云主機安全服務(wù)防勒索能力！

?

點擊關(guān)注，第一時間了解華為云新鮮技術(shù)~文章來源地址http://www.zghlxwxcb.cn/news/detail-815134.html

到了這里，關(guān)于云小課｜HSS對近期Cactus勒索病毒的分析的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！