安全研究 >> 安全研究详情

本周安全资讯(12.24-12.29)

作者: 由美创科技安全实验室整理发布日期: 12月29日

勒索病毒

1.自11月初以来,名为JungleSec的勒索软件通过不安全的IPMI(智能平台管理接口)卡感染用户,其中涉及到使用Windows、Linux和Mac系统的受害者。IPMI是一个内置在服务器主板中的管理接口或作为附加卡安装,允许管理员远程管理计算机,打开和关闭计算机,获取系统信息和提供远程控制台访问KVM的访问。安全人员调查发现,攻击源于IPMI接口使用默认的制造商密码或其它相似的漏洞,使攻击者获得服务器的访问权限,然后将计算机重启到单用户模式以获得root访问权限,在单用户条件下,攻击者将下载并编译加密程序。然后攻击者执行sudo命令来提示用户访问勒索信息文件,还安装了虚拟机磁盘,留下一个侦听TCP端口64321的后门,并创建一个允许访问此端口的防火墙规则。



2.Kryptos Logic的安全和威胁情报研究主管Jamie Hankins表示勒索软件WannaCry仍然潜伏在受感染的计算机上。安全研究员Marcus Hutchins在17年5月WannaCry首次爆发时,注册了一个域充当感染勒索软件组件的kill开关。如果感染能够连接到此kill开关域,则勒索软件组件将不会激活。但是,感染将继续在后台静默运行。Hankins称尽管WannaCrykill开关域由Cloudflare托管,以提供高可用性和防御DDoS攻击,在一周内收到了超过1700万个信标或连接,这些连接来自超过63万个独特的IP地址,包括194个不同的国家,其中仍然受感染数量最多的前三名为中国,印度尼西亚和越南。




3.研究人员Anyrun近日收到了2封不同的恶意电子邮件,其中均包含勒索软件criakl。Criakl在2014年出现,是一个针对英国进行过攻击但不算活跃的勒索软件。恶意电子邮件均通过SPF和DKIM认证,其中一个包含.doc文档的zip附件,另一个包含.exe文件的rar附件,用户启用word中恶意宏文档后,将从远程站点下载与rar附件中相同的.exe文件,然后执行嵌入的OLE对象,释放勒索软件criakl,加密并重命名受害者计算机文件包括自己的释放器,同时显示赎金文本。勒索软件显示内容使用不标准的英语编写,只感染Windows系统的计算机。



4.FilesLocker勒索病毒在2018年10月出现,在网上大量招募传播代理,随后在国内开始有部分传播。近期安全团队监测发现FilesLocker勒索病毒已升级到2.0版,且国内已有政府机关、企事业单位遭遇该病毒攻击。经分析,仅在满足特定条件时(病毒加密后程序未退出),被加密破坏的文件有可能恢复。若电脑已重启,或进行杀毒或手工关闭病毒程序的操作,将不能通过查找内存中的密钥来尝试恢复文件。FilesLocker病毒由于使用了RSA+AES的加密方式,且文件加密密钥使用强随机生成,理论上拿不到病毒作者手中RSA私钥情况下无法解密。但病毒由于采取使用了自身弹窗形式来告知受害者勒索信息,如果加密文件完成后病毒进程没有退出,可以在内存中查找密钥尝试解密。新版本的勒索赎金有所降低,从1.0版本时的0.18比特币降低到了2.0版本勒索0.15比特币(约3800元人民币) 。


挖矿病毒

Juniper威胁实验室安全人员发现针对俄罗斯分发勒索软件Troldesh的网络钓鱼活动。垃圾邮件附件为包含恶意JS文件的ZIP文件,文件使用定制打包器和UPX打包器,字符串进行加密混淆,动态解析API,并使用TOR客户端实现静态链接。触发后将从CMS上托管的站点(WordPress等)下载Troldesh,Troldesh使用TOR实现与C2服务器的匿名通信,并下载其它模块包括CMS(内容管理系统)暴力破解程序、挖矿工具Zcash及其挖矿相关文件等。其中CMS暴力破解程序模块,负责感染作为下载服务器使用的松散配置的CMS站点。

数据库漏洞

本周无最新数据库漏洞消息 

服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1