近日,网御星云安全性精英团队捕捉到一起利用MSSQL暴力破解密码推广勒索病毒的攻击事情,攻击者根据MSSQL的xp_cmdshell实行系统命令,从C&C服务器下载并实行勒索病毒。实行的有关指令以下:
经安全性权威专家剖析,攻击者所应用的程序流程均根据.NET开展Gzip压缩封裝,最后将C 撰写的PE缓解压力后引入到CasPol.exe过程(.NET的码浏览安全系数对策专用工具)实行,经剖析为Remcos远程控制和GlobeImposter勒索病毒。.NET程序流程的编译程序時间为2020年11月30号:
而缓解压力后获得到的真正勒索病毒体编译程序時间为2019年8月15日,已被威胁情报鉴别为GlobeImposter勒索病毒大家族,程序结构也与先前剖析一样:
根据威胁情报管理中心对该远程控制样版的C&C服务器ip89.39.107.61开展关系情报搜集,查询到该远程控制样版最开始是根据URL:195[.]3[.]146[.]180/CyberGuard.exe开展免费下载到当地;
要求浏览IP地址:195.3.146.180,发生Apache2 *** 服务器的默认页面;
再融合云空间资源监管,捕捉到该IP地址在2020年12月5日又升级了提交了故意样版server.exe,应用的免费下载url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等,推断该IP为攻击者不断升级攻击武器装备的服务器ip,且攻击者关键根据扫描仪数据库查询弱口令或系统漏洞开展侵入;
从云空间安全防护设备告警信息中确定,该IP最开始在2020年11月14日被鉴别为系统漏洞攻击应用IP,并在近期一个月内经常开展攻击试着;
攻击的总体目标当今关键看准 *** 部门、电力能源等好几个领域,伴随着攻击者的军械库的不断升级,攻击者事后还会继续再次试着别的侵入 *** 开展攻击,并很有可能外扩散攻击目标范畴;公司客户必须尽早搞好安全性结构加固,防止遭到损害。
.NET程序流程历经搞混,动态性挑情况下发觉其应用GzipStream类缓解压力資源段的数据信息,获得一个PE文档,在运行内存中载入该PE文档并启用Dgjxnaq.Structs.Utils的PublishWorker *** :
拷贝本身到Start Menu\\Programs\\Police\\hhide.exe:
修改注册表HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders的Startup键值为%AppData%\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Police,完成持久化:
缓解压力第三层PE,是一个控制模块名叫控制模块名叫ClassLibrary3.dll的文档,其关键作用为充压真正的可执行程序并引入到.Net文件目录下的CasPol.exe中:
该文件是一个由C 撰写的远程控制程序流程,从反汇编后的字符串数组能够看得出是Remcos大家族的远程控制,版本号为全新的2.7.2 Pro:
该远程控制程序流程具备以下作用:
获得计算机软件,应用R**优化算法数据加密后发送至C&C *** 服务器;
打开键盘记录器;
手机截图推送C&C *** 服务器;
C&C服务器ip为89.39.107.61:2606;
勒索病毒程序流程与远程控制程序流程同样,也是应用.NET开展了数次封裝,数次应用应用Gzip解压資源数据信息,之一层缓解压力的DLL文件更先在temp文件目录下释放出来了一个kill.bat,该脚本 *** 用以删掉包含数据库查询、vm虚拟机、WEB、解压缩软件、云等各种服务项目并完毕有关过程:
另外,恶意软件在同文件目录下释放出来Ywikoaptapxf.vbs用以拉上和删掉bat:
接着将本身拷贝到开机启动文件目录下的一个新创建文件目录Agust下,取名为Chinna.exe:
随后再缓解压力2次嵌入的DLL,最后获得一个C 撰写的可执行程序,将该文件引入"C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\CasPol.exe"过程:
该C 程序流程是一个已经知道的GlobeImposter勒索病毒,程序流程作用与以前的剖析基础符合,更先对本身过程开展提权实际操作,随后根据修改注册表来关掉Windows Defender:
根据注册表文件设定开机启动:
解析xml服务器上的硬盘:
解析xml文件目录,应用RSA算法对文档开展数据加密:
在其中会绕过特殊后缀名文档和文件目录,防止系统加密文档造成 崩溃:
数据加密进行后修改文件后缀:
在每一个根目录下释放出来敲诈勒索信息内容文档:
网御星云安全性精英团队再度提示众多客户,勒索病毒防止为主导,现阶段绝大多数勒索病毒数据加密后的文档都没法破译,留意日常预防措施:
1、立即给系统软件和运用修复漏洞,修补普遍高风险系统漏洞;
2、对关键的数据库文件按时开展非当地备份数据;
3、不必点一下来路不明的邮件附件,不从未知网址下载应用;
4、尽可能关掉多余的共享文件管理权限;
5、变更服务器帐户和数据库查询登陆密码,设定强登陆密码,防止应用统一的登陆密码,由于统一的登陆密码会造成 一台被攻克,几台殃及;
6、假如业务流程上不用应用RDP的,提议关掉RDP作用,并尽可能不必对外网映射RDP端口号和数据库端口。
维生素是人体不可或缺但是也不能大量补充的东西,他仅仅存在于某些特定的东西重,所以要给孩子及时的补充维生素是很重要的,友谊长存小编就来说说如何给孩子补充维生素A、D、C吧。 维生素D 维生素D仅仅存...
毛笔是谁发明的(“笔祖”居然是一名武将) 蒙恬剧照 秦王政二十四年(公米前223年),距离秦朝建立还有两年之际。 当时,威震匈奴,被誉为“中华第一勇士”的秦国大将蒙恬,奉命到北方,指挥军民修建万...
本文导读目录: 1、黑客游戏《HackTheGame》汉化版 2、有没有游戏版黑客帝国? 3、黑客游戏Uplink 4、黑客游戏hack the game121 5、有《黑客帝国》这款...
ipv6设置(最详细的IPv6获取教程)相信之家很多朋友已经开启了IPv6,正式成为了新网络时代的一员。详情可查看之前的帖子:《最简单方法教大家快速获取原生IPv6地址》。 在之前的帖子里面我写的是...
正告:不要以为有了WAF的维护,数据库安全就能够无忧无虑了,数据库依然有很大的露出危险。 Web运用程序防火墙(WAF)现在现已成为许多商业Web网站和体系的根本维护措施了,它确实在防备许...
skinature24k黄金精华好不好,skinature24k黄金精华好用吗,skinature24k黄金精华是一款在代购上面相当的火爆的精华,那么这款精华怎么样呢,24k黄金精华液究竟如何呢,好技...