百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL工程爆破开展攻击

访客4年前黑客工具611

近日,网御星云安全性精英团队捕捉到一起利用MSSQL暴力破解密码推广勒索病毒的攻击事情,攻击者根据MSSQL的xp_cmdshell实行系统命令,从C&C服务器下载并实行勒索病毒。实行的有关指令以下:

图片1.png

经安全性权威专家剖析,攻击者所应用的程序流程均根据.NET开展Gzip压缩封裝,最后将C 撰写的PE缓解压力后引入到CasPol.exe过程(.NET的码浏览安全系数对策专用工具)实行,经剖析为Remcos远程控制和GlobeImposter勒索病毒。.NET程序流程的编译程序時间为2020年11月30号:

图片2.png

而缓解压力后获得到的真正勒索病毒体编译程序時间为2019年8月15日,已被威胁情报鉴别为GlobeImposter勒索病毒大家族,程序结构也与先前剖析一样:

图片3.png

根据威胁情报管理中心对该远程控制样版的C&C服务器ip89.39.107.61开展关系情报搜集,查询到该远程控制样版最开始是根据URL:195[.]3[.]146[.]180/CyberGuard.exe开展免费下载到当地;

图片4.png

要求浏览IP地址:195.3.146.180,发生Apache2 *** 服务器的默认页面;

图片5.png

再融合云空间资源监管,捕捉到该IP地址在2020年12月5日又升级了提交了故意样版server.exe,应用的免费下载url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等,推断该IP为攻击者不断升级攻击武器装备的服务器ip,且攻击者关键根据扫描仪数据库查询弱口令或系统漏洞开展侵入;

图片6.png

图片7.png

从云空间安全防护设备告警信息中确定,该IP最开始在2020年11月14日被鉴别为系统漏洞攻击应用IP,并在近期一个月内经常开展攻击试着;

图片8.png

攻击的总体目标当今关键看准 *** 部门、电力能源等好几个领域,伴随着攻击者的军械库的不断升级,攻击者事后还会继续再次试着别的侵入 *** 开展攻击,并很有可能外扩散攻击目标范畴;公司客户必须尽早搞好安全性结构加固,防止遭到损害。

图片9.png

.NET程序流程历经搞混,动态性挑情况下发觉其应用GzipStream类缓解压力資源段的数据信息,获得一个PE文档,在运行内存中载入该PE文档并启用Dgjxnaq.Structs.Utils的PublishWorker *** :

图片10.png

拷贝本身到Start Menu\\Programs\\Police\\hhide.exe:

图片11.png

修改注册表HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders的Startup键值为%AppData%\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Police,完成持久化:

图片12.png

缓解压力第三层PE,是一个控制模块名叫控制模块名叫ClassLibrary3.dll的文档,其关键作用为充压真正的可执行程序并引入到.Net文件目录下的CasPol.exe中:

图片13.png

该文件是一个由C 撰写的远程控制程序流程,从反汇编后的字符串数组能够看得出是Remcos大家族的远程控制,版本号为全新的2.7.2 Pro:

图片14.png

该远程控制程序流程具备以下作用:

获得计算机软件,应用R**优化算法数据加密后发送至C&C *** 服务器;

打开键盘记录器;

手机截图推送C&C *** 服务器;

C&C服务器ip为89.39.107.61:2606;

勒索病毒程序流程与远程控制程序流程同样,也是应用.NET开展了数次封裝,数次应用应用Gzip解压資源数据信息,之一层缓解压力的DLL文件更先在temp文件目录下释放出来了一个kill.bat,该脚本 *** 用以删掉包含数据库查询、vm虚拟机、WEB、解压缩软件、云等各种服务项目并完毕有关过程:

图片15.png

另外,恶意软件在同文件目录下释放出来Ywikoaptapxf.vbs用以拉上和删掉bat:

图片16.png

接着将本身拷贝到开机启动文件目录下的一个新创建文件目录Agust下,取名为Chinna.exe:

图片17.png

随后再缓解压力2次嵌入的DLL,最后获得一个C 撰写的可执行程序,将该文件引入"C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\CasPol.exe"过程:

图片18.png

该C 程序流程是一个已经知道的GlobeImposter勒索病毒,程序流程作用与以前的剖析基础符合,更先对本身过程开展提权实际操作,随后根据修改注册表来关掉Windows Defender:

图片19.png

根据注册表文件设定开机启动:

图片20.png

解析xml服务器上的硬盘:

图片21.png

解析xml文件目录,应用RSA算法对文档开展数据加密:

图片22.png

在其中会绕过特殊后缀名文档和文件目录,防止系统加密文档造成 崩溃:

图片23.png

数据加密进行后修改文件后缀:

图片24.png

在每一个根目录下释放出来敲诈勒索信息内容文档:

图片25.png

网御星云安全性精英团队再度提示众多客户,勒索病毒防止为主导,现阶段绝大多数勒索病毒数据加密后的文档都没法破译,留意日常预防措施:

1、立即给系统软件和运用修复漏洞,修补普遍高风险系统漏洞;

2、对关键的数据库文件按时开展非当地备份数据;

3、不必点一下来路不明的邮件附件,不从未知网址下载应用;

4、尽可能关掉多余的共享文件管理权限;

5、变更服务器帐户和数据库查询登陆密码,设定强登陆密码,防止应用统一的登陆密码,由于统一的登陆密码会造成 一台被攻克,几台殃及;

6、假如业务流程上不用应用RDP的,提议关掉RDP作用,并尽可能不必对外网映射RDP端口号和数据库端口。

相关文章

通过系统透视日本:张小砚日本权力的本质是什么

  日本权力的本质是什么   文/徐瑾   发于2021.1.11总第980期《中国新闻周刊》   日本是否可以被理解?什么是理解日本的最佳路径?谁在掌握日本?   要回答这三个问题,并不容...

生活节俭的故事(俭以养德的简短小故事)

  1、桂贤又烧西屋炕,为了更好地可省下一根火柴,她从东厨房灶台拨拉出一块粪火,用火清除到西厨房灶台那把柴草里,用嘴用劲吹吹,吹了七八次,那粪火腾地点燃柴草,她赶快续柴草,吹火烤灶,省下一根火柴,日子...

霸凌是什么意思【什么是霸凌行为】

今天,一位妈妈的控诉,在上海家长群疯传。 9月26日体育课上,受害女生A在玩耍时,被同行女生狠狠踢了几脚,从高处摔落。 受害女生A伤势十分严重,ldquo;下身血肉模糊,肿得连小便都没法排出rdq...

加拿大劳务3年能挣多少

  假如签三年的条约能挣几多,仿佛走之前要交花五万,挣钱在扣五万,那么三。   加拿大每个省的人为尺度纷歧样以安粗略省为例:普通劳工平均人为$10.25/hr 饭馆侍应生平均人为$8.9/hr(有小费...

正规黑客联系电话(黑客联系电话)

  如何找正规的黑客办事,如何拥有有信誉的黑客的联系方式,这是笔者最近收到的最多的问题,那么笔者今天就给大家分享一下笔者所知的正规的、有信誉的黑客的故事。   随着互联网的迅速发展,人们在互联网上做...

怎么防止黑客获取信息(怎么防止黑客入侵)-苹果笔记本适合黑客吗

怎么防止黑客获取信息(怎么防止黑客入侵)-苹果笔记本适合黑客吗

怎么防止黑客获取信息(怎么防止黑客入侵)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客、黑...