安全研究 >> 安全研究详情

本周安全资讯(3.4-3.8)

作者: 由美创科技安全实验室整理发布日期: 03月10日

勒索病毒


2018年度最为活跃的勒索病毒之一,Satan(撒旦)进入2019年之后持续更新迭代病毒,不断出现病毒变种,企图攫取更多利益。近日,腾讯安全御见威胁情报中心监测发现Satan勒索病毒变种样本。据了解,该病毒变种主要针对 Windows、Linux 系统用户进行无差别攻击,然后在中招电脑中植入勒索病毒勒索比特币和植入挖矿木马挖矿门罗币,严重威胁用户个人信息及财产安全。

Satan 病毒变种运行后,病毒作者会快速遍历文件并进行加密,生成后缀为 .evopro 的加密文件,并提示用户支付一个比特币(当前价格折合人民币约25600元)进行解密。如果受害者未能在3天之内完成支付,则赎金翻倍。


该病毒成功入侵网络系统后,会同时植入勒索病毒和挖矿病毒,企图形成一体化、蠕虫化攻击趋势,以此进一步消耗受害者计算机资源。腾讯安全技术专家对此表示,这样的“双开花”行为看起来自相矛盾,一般来说挖矿病毒需要较长时间潜伏,生存时间越长,收益越大;而勒索病毒一旦加密用户数据,很快便会被用户注意到。用户一旦发现系统中了勒索病毒,往往会检查系统进行病毒查杀,或者将系统从网络断开,挖矿病毒便会难以藏身。

据腾讯安全技术专家分析发现,病毒作者在中招Windows电脑植入攻击模块,除了利用永恒之蓝漏洞对局域网Windows电脑进行攻击以外,同时攻击模块还利用JBoss、Tomcat、Weblogic、Apache Struts2多个组件漏洞以及Tomcat弱口令爆破对服务器进行攻击。略不同于Windows系统,病毒作者针对Linux系统还会利用SSH弱口令进行爆破攻击。目前,Satan病毒变种的攻击方式会导致勒索病毒、挖矿病毒同时在Windows、Linux系统中进行蠕虫式传播。



研究人员观测到 Troldesh 勒索软件(又名 Shade)从2018年第四季度到2019年第一季度的检测数量急剧增加。Troldesh 自2014年以来一直存在,作为恶意电子邮件.zip附件传播,实际上是一个 Javascript。有效载荷通常托管在具有被入侵的内容管理系统(CMS)的站点上。Troldesh 在 CBC 模式下使用 AES 256加密文件。对于每个加密文件,生成两个随机的256位 AES 密钥:一个用于加密文件的内容,另一个用于加密文件名。加密文件后,Troldesh 会在受感染的计算机上下载大量 readme#.txt 文件,勒索信使用俄语和英语写成。

MalwareHunterTeam发现一种新的 CryptoMix 勒索软件变体,加密文件后将 .CLOP 或 .CIOP 作为文件扩展名。新变体使用经过数字签名的二进制文件进行分发,有助于绕过安全检测。勒索软件变体首先停止大量 Windows 服务和进程,以关掉所有文件和禁用防病毒软件。关闭的进程包括 Microsoft Exchange、Microsoft SQL Server、MySQL、BackupExec 等。它还会创建一个名为 clearnetworkdns_11-22-33.bat 的批处理文件,该文件在勒索软件启动后不久执行,将禁用 Windows 的自动启动修复,移除卷影副本。之后,勒索软件进行加密,创建名为 CIopReadMe.txt 的勒索信。该变体表明攻击者的目标是整个网络而不是单个计算机。


上周六(3月2日),数百个以色列网站受到 JCry 勒索软件攻击,旨在感染 Windows 用户。攻击者修改了 nagich 的 DNS 记录,Nagich 是一个提供可访问性小部件的网络服务。当访问者访问使用此插件的网站时,将加载恶意脚本而不是合法插件。恶意脚本将检查浏览器的用户代理以确定访问者是否正在运行 Windows。如果变量等于特定字符串“Windows”,则恶意网站将显示用于分发 JCry Ransomware 的虚假 Adobe 更新消息,否则将显示篡改页面。但攻击者设置错误,导致所有受感染用户界面都被篡改,攻击失败了。据信这次袭击是由巴勒斯坦的黑客进行的。

研究人员最近发现了 GarrantyDecrypt 勒索软件新变体,冒充 Proton Technologies 的安全团队。该勒索软件于2018年10月首次被发现,虽然没有大规模分发,但不断有用户受到感染,向 ID-Ransomware 服务提交赎金票据或加密文件。名为  SECURITY-ISSUE-INFO.txt 的赎金票据中,开发人员声称受害者受到网络攻击,而 Proton 的 SECURE-SERVER 服务对数据进行了加密,以便在攻击期间保护数据。向用户收取780美元的费用作为报酬以及解密其文件。赎金票据底部附有“PROTON SECURE-SERVER SYSTEMS(c)2019”版权声明,使其看起来更加合法。目前还没有办法解密 GarrantyDecrypt 勒索软件。




挖矿病毒


趋势科技研究人员通过监控威胁的容器蜜罐的数据分析,发现了利用 Docker Hub 上社区容器图像将挖矿软件部署成恶意容器的活动。这些活动不需要利用漏洞,也不依赖于任何版本的 Docker。暴露的 Docker API 使用户能够执行各种命令。对蜜罐日志的进一步研究表明,使用容器图像还涉及利用 ngrok,ngrok 是一种用于建立安全连接或将流量从公共可访问端点转发到指定地址或资源(例如本地主机)的工具。攻击者能够在将有效载荷传递到公开主机时动态创建 URL。有两种有效载荷,第一种是连接到挖掘池的 Linux 可执行文件和可链接格式(ELF)文件编译的加密货币挖掘软件,第二个是用于检索某些网络工具的 shell 脚本(TrojanSpy.SH.ZNETMAP.A)。这些用于扫描预定义的网络范围,然后查找新目标。

数据库漏洞


本周无最新数据库漏洞消息




服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1