发布时间:2020-06-18 23:24:43,来源:微步在线
一、摘 要
近日,NBC 报道日本汽车大厂本田公司部分产线由于遭遇 Ekans 勒索软件攻击导致停工,对涉及的样本进行深度分析,相关发现如下:
此次攻击涉及的 Ekans 勒索软件实际为 Snake 勒索软件的一种变种,Snake 勒索软件于今年开始投递,攻击目标多数针对大型企业,借由加密受害者的 IT 系统和资料,勒索受害者并且收取赎金。
在涉及本田公司的攻击中,Ekans 勒索软件内部包含本田公司的域名,并且会判断域名解析 IP 是否和内置的固定 IP 一致,只有匹配成功后才会进行勒索,这意味着攻击可能是黑客手动渗透的并且具备定向攻击的性质。
根据 Ekans 样本的特点可以在云端数据关联到针对其他企业的多个样本,包括 Fresenius和 Enel,涉及医疗和能源行业。
二、事件详情
近日,NBC 报道日本汽车大厂本田因遭网络攻击导致部分产线停工。本田公司确认其内部相关机器被网络攻击,该问题正在影响对外的部分全球业务、电子邮件、内部系统等。此外对日本以外的生产系统也有影响。
据本田工作人员透露其遭受的网络攻击所使用的攻击软件,可能是名为 Snake 的勒索软件,根据进一步分析,此次攻击实际为 Ekans 的勒索软件。
Ekans 实际是 Snake 勒索软件的一种变种,由 Golang 语言所编写。Ekans 会解析内置的受害者域名并且判断是否和内置的固定 IP 一致,若是不一致则不进行文件加密操作,在此次攻击中内置的固定 IP 为 170.108.71.15,之后停止多个服务项和进程项,避免一些如数据库文件加密失败。根据内置的域名行为来看,Ekans 勒索软件具备定向攻击的性质。
解析本田的域名如下:
根据域名解析 IP 是否匹配来决定时候进行后续的加密操作:
创建互斥量“Global\EKANS”:
使用的公钥字符串如下:
停止多达 300 个系统服务项,包括数据库服务、日志服务、杀毒软件和虚拟机 Tools 等,截图如下:
停止多达 1100 个进程,同服务项一样包括数据库进程、日志进程、杀毒软件和虚拟机Tools 等,截图如下:
此外,根据代码的同源性等特点,我们还关联到针对 Fresenius(医疗)和 Enel(能源)两家单位的样本,其网络请求如下:
三、行动建议
1. 不要打开来历不明或可疑的电子邮件和附件。
2. 排查对外的服务器是否存在弱密码和漏洞。