股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
Magniber勒索病毒瞄准國(guó)内用(yòng)户,亚信安(ān)全支持检测拦截
发布时间 :2021年11月29日
类型 :勒索软件
分(fēn)享:
事件描述
近期,Magniber勒索病毒事件在全國(guó)范围内频繁爆发,导致多(duō)地用(yòng)户受到攻击,受害主机部分(fēn)文(wén)件被加密。早期的Magniber勒索病毒针对韩國(guó)用(yòng)户发动攻击,仅会加密韩语操作(zuò)系统,而随着分(fēn)发范围扩大,國(guó)内用(yòng)户也成為(wèi)该勒索攻击目标。
亚信安(ān)全已经截获此勒索病毒,并提供有(yǒu)效解决方案。据悉,该勒索病毒通过利用(yòng)Microsoft MSHTML遠(yuǎn)程代码执行漏洞(CVE-2021-40444)进行传播,当用(yòng)户访问挂马链接或打开黑客精(jīng)心制作(zuò)的文(wén)档时,均有(yǒu)可(kě)能(néng)触发此漏洞。
攻击流程
亚信安(ān)全产(chǎn)品解决方案
针对Magniber勒索病毒,亚信安(ān)全信端Officescan/信舱DeepSecurity可(kě)以在攻击发生的多(duō)个阶段检测并拦截。
亚信安(ān)全病毒码版本17.211.60,云病毒码版本17.211.71,全球码版本17.211.00 已经可(kě)以检测Magniber勒索病毒inf样本、勒索信readme.txt文(wén)件、cab包以及利用(yòng)漏洞的文(wén)档,请用(yòng)户及时升级病毒码版本;
恶意行為(wèi)监控可(kě)以有(yǒu)效拦截通过IE调用(yòng)control.exe的进程创建行為(wèi);
亚信安(ān)全DDAN沙盒平台已经可(kě)以检测该勒索病毒及利用(yòng)漏洞文(wén)档;
针对CVE-2021-40444漏洞,亚信安(ān)全已经发布了对应的DS和OSCE VP检测规则,规则如下:
1011126 - Microsoft MSHTML Remote Code Execution Vulnerability(CVE-2021-40444)
攻击细节分(fēn)析
Magniber勒索病毒通过Microsoft MSHTML 遠(yuǎn)程代码执行漏洞进行分(fēn)发。当受害者访问挂马网站或打开黑客精(jīng)心制作(zuò)的恶意文(wén)档时,则可(kě)能(néng)触发整个攻击链。
由于此攻击链需要用(yòng)户主动访问站点或打开文(wén)档,因此高危站点及钓鱼邮件将会是主要传播手段。
一旦打开文(wén)档并启用(yòng)编辑,则可(kě)能(néng)触发漏洞,将自动下载黑客在站点中(zhōng)托管的cab文(wén)件,并解压.inf文(wén)件到/AppData/Local/Temp或/AppData/Local/Temp/Low目录中(zhōng),随后调用(yòng)cpl执行。
.inf文(wén)件為(wèi)PE格式,样本中(zhōng)无导入表,这对样本静态分(fēn)析造成一定困难。经过动态分(fēn)析,发现样本含有(yǒu)较多(duō)花(huā)指令,通过SSDT表调用(yòng)Windows API实现代码逻辑。
加密完成后,主机会访问勒索站点:
弹出readme.txt,该文(wén)件已经被亚信安(ān)全检测為(wèi)Ransom.Win32.RANMSGHP.SMT2.note:
通过查看浏览器历史记录,可(kě)以发现利用(yòng)上述漏洞的蛛丝马迹:
安(ān)全建议
打开系统自动更新(xīn),并检测更新(xīn)进行安(ān)装(zhuāng);
不要随意点击来历不明的Office文(wén)档,将Office默认设置“受保护的视图”;
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中(zhōng)包含的链接;
请到正规网站或者应用(yòng)商(shāng)店(diàn)下载程序;
采用(yòng)高强度的密码,避免使用(yòng)弱口令密码,并定期更换密码;
尽量关闭不必要的端口;
尽量关闭不必要的网络共享;
请注意备份重要文(wén)档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用(yòng)两种不同格式保存,并将副本放在异地存储。
分(fēn)享到微信
X