近期，安全圈被勒索病毒“CTB-Locker”刷屏，“CTB-Locker”是目標(biāo)性極強(qiáng)的比特幣敲詐者病毒，來勢洶洶。這個(gè)病毒是通過郵件傳播，中毒后會加密磁盤里的數(shù)據(jù)，并發(fā)送勒索信息，若不支付勒索費(fèi)用，文件將會在95小時(shí)內(nèi)被全部刪除。

綠盟科技技術(shù)團(tuán)隊(duì)NSTRT也收到了不少客戶的咨詢，發(fā)現(xiàn)自身的內(nèi)部網(wǎng)絡(luò)中收到了該類型的病毒，并提供了惡意樣本。目前根據(jù)反饋的用戶統(tǒng)計(jì)，收到該病毒的主要是企業(yè)、金融機(jī)構(gòu)的高層管理人員。

▲圖：病毒執(zhí)行成功后，在桌面出現(xiàn)的勒索信息。

病毒樣本的原理

1) 傳播方式

CTB-Locker病毒的隱秘性非常高，主要是通過郵件的方式進(jìn)行傳播，郵件的文件格式類似下圖：

2) 感染方式

該病毒附件是一個(gè)zip的壓縮包，里面的帶有一個(gè).scr的文件。如下圖：

在點(diǎn)擊打開該文件之后是一個(gè)Downloader，病毒會先判斷本機(jī)能否連接Windows Update站點(diǎn)，如果可以上網(wǎng)，則會自動向幾個(gè)特殊的域名進(jìn)行下載操作，并在根目錄下生成一個(gè).cab的文件，并自動執(zhí)行，同時(shí)打開.cab中的rtf文件。如下圖：

這時(shí)，用戶以為僅打開了一個(gè)普通的文件，其實(shí)自身已經(jīng)感染了病毒。病毒會對磁盤進(jìn)行搜索，并判斷用戶的文件格式是否符合感染目標(biāo)(目前統(tǒng)計(jì)約114種文件為病毒感染目標(biāo))，然后對其進(jìn)行加密，并在桌面上顯示敲詐信息。

綠盟新一代威脅防護(hù)方案(NGTP)處理勒索病毒

根據(jù)綠盟科技威脅響應(yīng)中心對病毒樣本的分析，從攻擊鏈條上看，這個(gè)樣本與典型的APT攻擊有很多相似的地方。比如，都是通過郵件釣魚進(jìn)行感染，然后在黑客預(yù)先設(shè)置的服務(wù)器上下載有效的病毒代碼，釋放后進(jìn)行感染，最后出現(xiàn)勒索畫面。

下圖是APT攻擊的典型過程，CBT-Locker在軟件下載和C&C連接兩個(gè)環(huán)節(jié)上跟APT攻擊十分相近。

綠盟科技新一代威脅防護(hù)方案(NGTP)的組件能夠有效檢測和防御這類威脅。

1. NGTP的模塊

綠盟科技NGTP解決方案，包含以下幾個(gè)模塊“

1) ESPP：綠盟全球信譽(yù)云系統(tǒng)，提供安全信譽(yù)

2) TAC：威脅分析中心，對已知和未知的安全威脅進(jìn)行分析，并上報(bào)到綠盟全球信譽(yù)云

3) NIPS：網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，能夠?qū)W(wǎng)絡(luò)層及Web攻擊等進(jìn)行檢測和防護(hù)

4) SEG：郵件安全網(wǎng)關(guān)，對病毒郵件和垃圾郵件進(jìn)行過濾

2. TAC與NIPS聯(lián)動方案

當(dāng)郵件進(jìn)入到企業(yè)內(nèi)網(wǎng)，TAC設(shè)備對郵件協(xié)議進(jìn)行文件還原，通過本地的沙箱系統(tǒng)進(jìn)行虛擬執(zhí)行，分析出惡意病毒進(jìn)行外聯(lián)下載的行為。TAC把分析出的結(jié)果上報(bào)到綠盟全球信譽(yù)云系統(tǒng)，形成惡意軟件和URL信譽(yù)。當(dāng)本地的NIPS設(shè)備進(jìn)行信譽(yù)更新后，即可對這個(gè)惡意軟件進(jìn)行報(bào)警和阻斷。

3. TAC與SEG聯(lián)動方案

TAC與SEG的聯(lián)動方案能夠更進(jìn)一步進(jìn)行病毒清除。由于這個(gè)病毒是通過郵件進(jìn)行傳播的，郵件安全網(wǎng)關(guān)在信譽(yù)進(jìn)行升級后，能夠通過文件信譽(yù)識別出郵件中的附件是否為惡意軟件，并根據(jù)結(jié)果對病毒郵件進(jìn)行隔離或者直接刪除。這種處理方式，使得病毒根本沒有機(jī)會對內(nèi)網(wǎng)的終端進(jìn)行感染。