新型「無文件」 + 代碼注入勒索軟體SOREBRECT現江湖
E安全6月21日訊Trend Micro安全研究人員警告稱,新浮現一款名為「SOREBRECT」的勒索軟體,其結合了「無文件」攻擊和代碼注入兩種攻擊方式。
攻擊方式
Trend Micro公司表示,幾個月前,SOREBRECT設法感染中東組織機構的網路和系統被發現。這款勒索軟體具備不尋常的加密技術,濫用PsExec公用程序利用代碼注入,同時還注重隱身。
SOREBRECT裝有自毀程序,將自身變成「無文件」威脅,即終止主要的二進位文件之前,將代碼注入合法系統進程。此外,這款軟體會儘可能刪除受影響系統的事件日誌和其它項目產生文檔(Artifact),以阻礙取證分析,阻止研究人員追蹤威脅活動。
受威脅的國家
被發現時,SOREBRECT的目標主要集中在科威特和黎巴嫩等中東國家。然而,在WannaCry肆虐之前,這款惡意軟體就已經出現在加拿大、中國(包括中國台灣地區)、克羅埃西亞、義大利、日本、墨西哥、俄羅斯和美國的電腦中,感染的行業包括製造業、技術和電信行業。
Trend Micro表示,考慮到勒索軟體的潛在影響和盈利能力,SOREBRECT出現在其它地方、甚至網路犯罪地下市場都不足為奇。
攻擊期間,這款惡意軟體會濫用PsExec。這就意味著,攻擊者已經獲取了管理員登錄憑證,使遠程設備暴露或遭受蠻力攻擊。
SOREBRECT勒索軟體
SOREBRECT並非首個濫用PsExec的勒索軟體家族,其它這類勒索軟體還包括SamSam和Petya。
PetrWrap也曾濫用該公用程序在被感染伺服器或端點上安裝Petya勒索軟體。但區別在於,SOREBRECT這種新型威脅會惡意部署PsExec,並執行代碼注入。
E安全百科:PsExec,輕型的 telnet 替代工具,無需手動安裝客戶端軟體即可執行其他系統上的進程,並且可以獲得與控制台應用程序相當的完全交互性。是系統管理員執行命令或在遠程系統運行可執行文件使用的合法Windows命令行公用程序。
Trend
Micro解釋稱,SOREBRECT將代碼注入Windows的svchost.exe進程,但主要的二進位文件會自毀。部署的勒索軟體二進位文件一旦結束執行並自我終止,注入的svchost.exe(合法的Windows服務託管系統進程)會恢復執行加密有效載荷。
研究人員還認為,相比遠程桌面協議(RDP),這款勒索軟體的代碼注入功能使攻擊更有效。攻擊者通過PsExec可以遠程執行命令,而不是提供登錄會話或手動將此惡意軟體轉移到目標設備。
SOREBRECT還使用wevtutil.exe刪除系統事件日誌和vssadmin,以刪除卷影副本(Shadow Copies),從而掩蓋行蹤,並防止用戶恢復文件。此外,這款惡意軟體還使用TOR網路與C&C伺服器通信。
研究人員警告稱,SOREBRECT還可以加密網路共享文件,即SOREBRECT會掃描網路尋找資產,並枚舉開放式共享(包括文件夾、內容或通過該網路易訪問的外圍設備),之後它會啟動到共享的連接,無論讀取和寫入訪問是否可用,這款惡意軟體都會對發現的共享進行加密。
保護措施
E安全建議IT/系統管理員:
限制用戶寫入許可權。
限制PsExec特權。
隨時備份文件。
升級系統和網路降低遭受攻擊的概率。
員工的安全常識培訓。
部署多層安全機制。
E安全註:本文系E安全獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考。
※到2020年,雲端安全服務市場總值將達90億美元
※2017年度中國信息安全從業人員現狀調查活動
※如何監控美國政府官員上網在幹什麼
※可隱藏在PHP模塊中的Rootkit,只有80行代碼「附PoC」
※2017年全球網路高危埠暴露指數,我國排名第21位
TAG:E安全 |
※頭條:RANCOR利用DDKONG和PLAINTEE惡意軟體攻擊東南亞
※芯禾科技EM模擬軟體IRIS 通過GLOBALFOUNDRIES 22FDX工藝認證
※新JNEC.a勒索軟體曝光,利用WinRAR ACE漏洞傳播
※芯禾科技電磁模擬軟體IRIS 通過GLOBALFOUNDRIES 12LP工藝認證
※密碼竊取軟體AGENT TESLA的傳播渠道分析
※憑藉EOSPRINT 2簡潔直觀的軟體用戶界面,EOS與USETREE榮獲iF設計獎
※RANCOR使用PLAINTEE和DDKONG惡意軟體家族在東南亞進行針對性攻擊
※CODESYS課堂:CODESYS軟體架構
※FAUXPERSKY惡意軟體分析
※新型跨平台間諜軟體CrossRAT
※在CDR軟體中導入 AI、PS和PDF 文件的方法
※英偉達更新SHIELD軟體代碼,新機將採用新的SoC和UI界面
※十年磨劍指何方?東軟睿馳接連發布L0-L1級ADAS量產產品及NeuSAR操作系統軟體平台
※支持軟體調控RGB燈效 GAMER M.2 RGB開賣啦!
※RED推出大哥級軟體——TG
※AI軟體工程師、ASIC/FPGA 數字驗證工程師、ASIC/FPGA 設計工程師
※專訪百勝軟體CTO:30萬家門店,從MySQL到阿里雲POLARDB雲原生資料庫
※開發出CRISPRdisco軟體,對CRISPR/Cas系統進行鑒別和分類
※XSL-FO 軟體
※支持多平台,VR/AR協作軟體VISIONxR誕生