压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

作者：venus 金睛

一、核心結(jié)論

Sage勒索攻擊是最近活躍于我國各大政府機(jī)關(guān)、金融機(jī)構(gòu)、電信運(yùn)營商、企事業(yè)單位的一款新型勒索攻擊變種，屬于CryLocker勒索攻擊家族的成員，從技術(shù)角度分析，Sage與我們早先披露的Cerber、Locky、Tesla、Spora勒索攻擊手段類似，應(yīng)屬于同一家族所為。

Sage勒索攻擊也是借助郵件進(jìn)行傳播，在郵件中嵌套一個包含惡意的zip壓縮文件，一般情況下，zip壓縮文件包含了一份Word宏文檔，當(dāng)用戶不慎點開壓縮文件，便會自動執(zhí)行下載及安裝Sage勒索軟件。運(yùn)行Sage勒索軟件后，用戶會被不斷要求點擊“YES” 窗口按鈕，直到Sage勒索攻擊軟件運(yùn)行完畢為止。與Cerber、Locky、Tesla、Spora攻擊方式不同的是，Sage勒索軟件會對全盤文件進(jìn)行加密，被加密過的文件名以“.sage”結(jié)尾。

我們?nèi)age英文單詞中“鼠尾草（可用作調(diào)料）”的中文釋義，命名此類攻擊為“鼠尾草Sage勒索攻擊”。遭受鼠尾草Sage勒索攻擊的用戶，會有“文件恢復(fù)指南”的提示，并且支持十二種語言，用戶需要根據(jù)恢復(fù)指南進(jìn)行操作，或者根據(jù)攻擊者提供的贖金頁面，讓受害者去Tor網(wǎng)絡(luò)頁面支付贖金。

針對鼠尾草Sage勒索攻擊，APT檢測產(chǎn)品能夠精準(zhǔn)檢測，無需進(jìn)行產(chǎn)品升級。我們也建議用戶應(yīng)該對此變種攻擊行為給予足夠重視，不要輕易打開陌生人的郵件，尤其是主題和附件包含工資、報銷、發(fā)票等字樣的郵件，更不要隨意打開郵件附件中的壓縮包或應(yīng)用程序。如您購買了我司APT檢測產(chǎn)品，我們將為您免費提供安全巡檢和樣本分析服務(wù)，排查每一處可能的網(wǎng)絡(luò)安全隱患，分析每一個可能的未知威脅樣本。詳情請咨詢當(dāng)?shù)劁N售，或發(fā)送郵件至venuseye@venusgroup.com.cn申請。

二. 鼠尾草 Sage勒索 攻擊分析報告

2.1 惡意樣本報警信息

2.2 惡意樣本分析報告-快速檢測部分

值得注意的是，鼠尾草Sage勒索攻擊的用戶，防病毒類檢測手段可能無法檢測。

2.3 惡意樣本分析報告-深度檢測部分

• 進(jìn)程入侵

• 嘗試讀取系統(tǒng)進(jìn)程內(nèi)存

• 反虛擬機(jī)運(yùn)營

• 威脅行為

三. 鼠尾草 SageSageSage 勒索攻擊技術(shù)分析

3.1基本信息

MD5：？？？？a47e9776793c4d8？？？c6fdad379c

樣本大小：345KB

3.2執(zhí)行結(jié)果

0x01:該病毒樣本執(zhí)行后會對文件進(jìn)加密，將顯示如下信息

0x02:：每個 被加密的文件下包含一!Recovery_IVV.html文件

0x03:被加密的文件名均為“.sage”

3.3技術(shù)分析

0x01:樣本主功能邏輯如下：

0x02：該樣本首先進(jìn)行初始化工作。

0x03：測試中包含的參數(shù)功能，其參數(shù)為d,應(yīng)該是調(diào)試分析時用的。

0x04:：如果參數(shù)為 g，實現(xiàn)進(jìn)程守護(hù)，如父被結(jié)束將重新啟動。

0x05：通過互斥量，確保單實例執(zhí)行。

0x06：區(qū)域檢查，排除以下幾個國家（白俄羅斯，哈薩克斯，俄羅斯，烏克蘭，烏茲別克斯坦）

0x07：通過 maps.googleapis.com嘗試獲取地理信息，以及 mac ， ssid等信息。

0x08：自刪除板塊。

0x09：判斷文件標(biāo)志是否存在，如果不存在對文件進(jìn)行加密。

0x10：對下列類型文件進(jìn)行加密，被加密的文件添加sage后綴。

0x11：刪除卷影備份。

0x12：通過計劃任務(wù)添加用戶登錄自啟動。

四. 網(wǎng)御星云APT檢 產(chǎn)品介紹

4.1什么是APT攻擊

APT攻擊之所以稱之為高級持續(xù)威脅，是因為攻擊本身復(fù)雜多維度，手段變化多樣，隱藏技術(shù)運(yùn)用多，這讓傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備諸如防火墻、入侵檢測、入侵防御、防病毒網(wǎng)關(guān)、上網(wǎng)行為管理等網(wǎng)關(guān)型安全設(shè)備難以招架，因此，基于環(huán)境模擬的檢測技術(shù)手段可以填補(bǔ)威脅不可定義的技術(shù)空白，使未知惡意代碼和嵌套式攻擊、隱秘通道等新形勢下的攻擊形態(tài)無處遁形。

網(wǎng)御星云APT檢測產(chǎn)品是根植于數(shù)十年協(xié)議分析和文件還原的技術(shù)積累基礎(chǔ)上，結(jié)合用戶對于未知威脅的檢測迫切性需求，研發(fā)的一款創(chuàng)新型檢測產(chǎn)品。對于諸如方程式攻擊、黑暗力量、H-worm遠(yuǎn)控木馬分析等這樣的APT攻擊，設(shè)備無需添加入侵特征庫、無需定制開發(fā)即可精確檢測此類攻擊，是用戶應(yīng)對APT攻擊的不二選擇。用戶可以通過網(wǎng)御星云APT檢測產(chǎn)品，精確檢測高級持續(xù)性威脅，快速發(fā)現(xiàn)未知漏洞（0-day），準(zhǔn)確定位失陷主機(jī)或用戶。

4.2網(wǎng)御星云APT檢測產(chǎn)品解決思路

針對高級持續(xù)性威脅的攻擊特點，通過部署網(wǎng)御星云APT檢測產(chǎn)品，可以對多種未知威脅攻擊事件進(jìn)行有效的檢測和防范。產(chǎn)品可以直接將含有該攻擊樣本的文件在虛擬的環(huán)境學(xué)模擬運(yùn)行，避免惡意代碼在真實環(huán)境中釋放，有效規(guī)避APT攻擊的可能性。

網(wǎng)御星云APT檢測產(chǎn)品，作為一款針對惡意代碼等未知威脅具有細(xì)粒度檢測效果的專業(yè)安全產(chǎn)品，可實現(xiàn)包括對：未知惡意代碼檢查、嵌套式攻擊檢測、木馬蠕蟲病毒識別、隱秘通道檢測等多類型未知漏洞（0-day）利用行為的檢測，由公司獨立自主研發(fā)。系列采用國內(nèi)領(lǐng)先的雙重檢測方法（靜態(tài)檢測和動態(tài)檢測），多種核心檢測技術(shù)手段：二進(jìn)制檢查、堆噴檢測、ROP利用檢測、敏感API檢測、堆棧檢測、Shell code檢查、沙箱檢查等，可以檢測出APT攻擊的核心步驟，同時，產(chǎn)品可結(jié)合人工服務(wù)，有效發(fā)現(xiàn)網(wǎng)絡(luò)APT攻擊。見圖：