手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

警惕¡°侠盗¡±团伙利用新型漏洞传播GandCrab勒索¡°蓝屏¡±变种

来源£º本站整理 作者£º佚名 时间£º2019-04-29 TAG£º 我要投稿

近日£¬深信服安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件£¬已有政企机构受到攻击£¬黑客团伙通过漏洞利用入侵服务器£¬上传Downloader脚本文件£¬连接C&C端下载运行勒索病毒¡£通过样本中提取的IP进行关联£¬该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联¡£
经深信服安全团队分析£¬该勒索病毒在功能代码结构上与“侠盗”病毒GandCrab非常相似£¬同时应用了多种反调试和混淆方式£¬进行调试时会导致主机蓝屏£¬且似乎还处于?#27426;系?#35797;的阶段£¬与“侠盗”团队有很大关联£¬确认是GandCrab勒索病毒最新变种¡£该勒索病毒使用RSA+AES算法进行?#29992;Ü£¬¼用?#25991;件后会使用随机字符串作为后缀£¬且更换屏幕为深蓝背景的Image text£¬具体勒索特征如下£º

?#22836;?#21202;索信息文件“?#29992;?#21518;缀-readme.txt”£º

排查过程
1.排查被?#29992;?#30340;服务器£¬通过修改日期£¬发现文件在4.27日五点五十左右被?#29992;Ü£?br/>
2.排查病毒文件£¬发现在temp目录和IE缓存目录下存在勒索病毒文件£º

3. 排查到用于下载勒索病毒文件的vbs脚本£¬文件名为poc.vbs经过检查?#33539;?#26159;针对confluence最新漏洞的poc£¬属于手动投毒£º

4.病毒文件确认£¬?#29992;?#29616;象与遭到攻击的服务器相同£º

威胁情报关联
1.通过哈希搜索£¬Virustotal上该病毒文件的上传时间就在近日£¬且通过?#29992;?#29616;象来看属于一种新的勒索病毒变种£º

2.通过病毒下载链接中的IP£¨188[.]166[.]74[.]218£©进?#22411;?#32961;情报关联£¬该C&C端近日被用于下载恶意文件£º

3.该IP?#26500;?#32852;到通过Confluence漏洞(CVE-2019-3396)传播CandCrab勒索病毒的相关事件£¬链接如下£º
· https://blog.alertlogic.com/active-exploitation-of-confluence-vulnerability-cve-2019-3396-dropping-gandcrab-ransomware/
由此可见£¬该攻击者£¨团伙£©近期活跃频繁£¬且惯用手法是利用新型漏洞传播勒索病毒£¬入侵用户终端£¬并且疑似在开发新型的勒索病毒家族变种¡£
病毒详细分析
1.样本母体使用各种?#29992;?#25805;作£¬如下所示£º

2.解密出第一层Payload代码£¬如下所示£º

3.解密出勒索核心Payload代码£¬如下所示£º

4.创建互斥变量£¬如下所示£º

5.在内存中解密出勒索相关信息£¬如下所示£º

6.提升进程权限£¬如下所示£º

7.内存中解密出勒索信息文本£¬如下所示£º

8.生成随机勒索信息文本文件名£º[随机数字字符串]+[-readme.txt]£¬如下所示£º

9.获取键盘布局£¬如下所示£º

[1] [2]  下一页

¡¾声明¡¿:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的£¬并不代表本站赞同其观点?#25237;?#20854;真实性负责£¬仅适于网络安全技术爱好者学习研究使用£¬学习中请遵循国家相关法律法规¡£如有问题请联系我们£¬联系邮箱[email protected]£¬我们会在最短的时间内进行处理¡£
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        ¹ºÂò²ÊƱȨÍþÍøÖ·
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中