安全研究 >> 安全研究详情

本周安全资讯(3.16 - 3.20)

作者: 美创科技安全实验室整理发布日期: 03月20日


勒索病毒

1、法国马赛市政厅遭遇大规模的勒索软件攻击

在2020年法国马赛市3月15日和22日举行选举之前,一场大规模且广泛的网络攻击袭击了马赛市政厅。法国国家信息系统安全局证实,此次攻击导致约300台机器瘫痪。该市政厅表示,此次攻击传播的是勒索软件,技术团队正在努力恢复受感染机器,并称市政选举将正常进行。


2、新版本Mespinoza勒索软件攻击法国地方政府

法国CERT警告,新版本的Mespinoza(也称为Pysa)勒索软件进行的攻击活动正在增加,一些地方政府已被感染。Mespinoza于2019年10月首次发现,该新版本于2019年12月出现,所加密的文件使用Pysa或newversion扩展名。法国CERT表示,正在调查攻击者如何获得受害者网络的访问权限,还称有证据表明其针对管理控制台和Active Directory帐户发起了暴力破解,然后获取了目标组织的帐户和密码数据库。有受害者组织报告说,发现未经授权的RDP连接到其域控制器,并且部署了批处理脚本和PowerShell脚本。此外,攻击者还部署了一个版本的PowerShell Empire渗透测试工具,停止了各种防病毒产品,甚至在某些情况下甚至卸载了Windows Defender。


3、新勒索软件Nefilim与Nemty共享代码

一种名为Nefilim的新勒索软件,于2020年2月底开始活跃,目前不确定勒索软件如何分发,但很可能是通过公开的远程桌面服务进行分发。Nefilim与Nemty共享许多相同的代码,主要的不同之处在于,Nefilim移除了勒索软件即服务(RaaS)的组件,依靠电子邮件进行支付,而不是Tor支付网站。Nefilim将使用AES-128加密文件。每个加密的文件都将附加.NEFILIM扩展名。释放的勒索信中包含不同的联系电子邮件,并且威胁如果在7天内未支付赎金,将泄漏数据。



挖矿病毒


1、Stantinko的新挖矿模块使用多种混淆技术

ESET研究人员在僵尸网络Stantinko的新挖矿模块发现其使用了多种混淆技术。使用的混淆技术如下:字符串混淆,模块中嵌入的所有字符串均与实际功能无关,实际字符串会在内存中生成,以避免基于文件的检测和阻止分析;控制流混淆,将控制流转换为难以阅读的形式,并且如果不进行大量分析,则无法预测基本块的执行顺序;死码,添加从未执行的代码,它还包含从不调用的函数,其目的是使文件看起来更合法,以防止检测;无效代码,添加已执行但对整体功能没有实质性影响的代码,它旨在绕过行为检测;死字符串和函数,在不影响功能的情况下添加函数和字符串。



服务热线:400-711-8011
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1