压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

亞信安全火力全開獵捕“壞兔子”,全殲詳解

責編:mhshi |2017-10-25 10:38:54

10月24日,歐洲遭遇新一輪勒索病毒攻擊,俄羅斯、烏克蘭、土耳其、德國等國均受到影響,目前已經開始向美國擴散。該勒索病毒被命名為“Bad Rabbit”(中文譯名:壞兔子),亞信安全將其檢測為Ransom_BADRABBIT.SM和Ransom_BADRABBIT.SMA。

該勒索軟件將受害電腦的文件加密,讓電腦無法使用,從而要求支付贖金。“壞兔子”勒索軟件要求支付0.05比特幣(合275美元)。經過研究人員深入分析,雖然 “壞兔子” 擁有部分與Petya勒索病毒相同的代碼,但是最新的這波攻擊不大可能造成Petya那種程度的全球性破壞。由于“壞兔子” 勒索病毒通過共享和弱密碼在內網擴散,因此對企業危害較大。

亞信安全技術詳解:“壞兔子”勒索病毒攻擊

“壞兔子”勒索病毒通過水坑攻擊傳播,攻擊者先在特定網站上注入包含URL的腳本文件,誘騙用戶下載虛假的Flash安裝程序“install_flash_player.exe”。嵌入的URL最終解析為:hxxp://1dnscontrol.com/flash_install,目前為止該鏈接已經不可訪問。

注入腳本代碼

【注入腳本代碼】

一旦虛假的安裝包被點擊,其會生成加密文件infpub.dat和解密文件dispci.exe?!皦耐米印蓖ㄟ^三步驟來完成其勒索流程,其對應的三個文件名均來源于美劇《權利的游戲》。

  • rhaegal.job — 負責執行解密文件。
  • drogon.job — 負責關閉受害者電腦。然后勒索軟件加密系統中的文件,顯示如下勒索信息。
  • 勒索信息

【勒索信息】

  • viserion_23.job — 負責重啟受害者電腦,重啟后屏幕被鎖定,顯示如下信息:
  • 重啟后屏幕顯示的信息

【重啟后屏幕顯示的信息】

“壞兔子”可以在內網中擴散傳播,其使用Windows ManagementInstrumentation(WMI)和服務控制遠程協議,在網絡中生成并執行自身拷貝文件。在使用服務控制遠程協議時,“Bad Rabbit”采用字典攻擊方法獲取登陸憑證。

經過深入分析,我們還發現“壞兔子”使用開源工具Mimikatz獲取憑證,其也會使用合法磁盤加密工具DiskCryptor加密受害者系統。

亞信安全教你如何防御

1、暫時關閉內網中打開共享的機器;

2、關閉WMI服務;

3、更換復雜密碼;

4、亞信安全最新病毒碼版13.740.60已經包含此病毒檢測(掃描引擎版本9.850及以上),該版本病毒碼已經發布,請用戶及時升級病毒碼版本;

5、亞信安全客戶開啟OfficeScan 11的行為監控功能(AEGIS),可有效阻攔勒索病毒對用戶文件的加密;

6、亞信安全DDAN沙盒產品已經包含此病毒的檢測,檢測名:VAN_FILE_INFECTOR.UMXX。

早期的分析說明,該病毒利用了與Petya勒索病毒相似的組件進行傳播,由于黑客在Petya勒索病毒及其變種中,使用了與WannaCry相同的攻擊方式,都是利用MS17-010(”永恒之藍”)漏洞傳播;有些更是通過帶有DOC文檔的垃圾郵件附件進行傳播,通過Office CVE-2017-0199漏洞來觸發攻擊。因此,亞信安全建議用戶采取如下防護措施:

 

  • 及時更新系統補丁程序,或者部署虛擬補??;
  • 啟用防火墻以及入侵檢測和預防系統;
  • 主動監控和驗證進出網絡的流量;
  • 主動預防勒索軟件可能的入侵途徑,如郵件,網站;
  • 使用數據分類和網絡分段來減少數據暴露和損壞;
  • 禁用SMB端口;
  • 打全補丁程序,特別是ms17-010補丁程序。

針對Petya勒索病毒解決方案

亞信安全病毒碼版本(13.500.60),云病毒碼版本(13.500.71)已經包含此病毒檢測,2017年6月28日已經發布,請用戶及時升級病毒碼版本。

針對”永恒之藍”漏洞解決方案

亞信安全DeepSecurity和TDA 已經于5月2號發布規則能夠抵御該勒索病毒在內網的傳播:

  • TDA:2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)
  • Deep Security:1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
  • 亞信安全DeepEdge在4月26日已發布了針對微軟遠程代碼執行漏洞 CVE-2017-0144的4條IPS規則

(規則名稱:微軟MS17 010 SMB遠程代碼執行1-4,規則號:1133635,1133636,1133637,1133638)

針對Office CVE-2017-0199漏洞解決方案

亞信安全DeepSecurity 和TDA 已經于4月13日發布規則,攔截該漏洞:

  • 1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)
  • 1008295 – RestrictMicrosoft Word RTF File With Embedded OLE2link Objec
  • 1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)
  • TDA ?Rule 18 : DNS response of a queried malwareCommand and Control domain

上一篇:卡巴斯基:交友軟件容易受到攻擊

下一篇:亞信安全受邀出席vFORUM 2017 倡導打造云端自動縱深安全防御體系