50岁退休熟女露脸高潮,免费观看又色又爽又黄的校园剧,乱码av麻豆丝袜熟女系列,大地影视mv高清视频在线观看 ,人摸人人人澡人人超碰手机版

?
股票代碼:688225
打開微信“掃一掃”,開啟安全數(shù)字世界之旅
截圖或長按保存至相冊,使用微信掃一掃
首頁 > 關(guān)于我們 > 企業(yè)新聞

新聞與活動

亞信安全最新資訊與活動。

警惕!REvil勒索軟件突襲MSP提供商,贖金價值高達7000萬美元
發(fā)布時間 :2021年07月22日
類型 :勒索軟件
分享:

事件描述


近日,亞信安全網(wǎng)絡(luò)安全實驗室關(guān)注到REvil勒索軟件團伙在暗網(wǎng)數(shù)據(jù)泄漏站點上發(fā)布了一條消息,聲稱他們已于2021年7月2日入侵了MSP提供商,并表明已有100萬個系統(tǒng)受到勒索軟件的影響,該團伙要求支付7000萬美元的BTC,才能提供解密器。此事件引起安全廠商關(guān)注,REvil勒索再次成為焦點,亞信安全已截獲到相關(guān)樣本,并將其命名為:Trojan.Win32.SODINSTALL.YABGC。


攻擊流程


image.png


病毒詳細分析

 

釋放惡意載荷

該樣本是一個Dropper,其包含MODLIS和SOFTIS兩個資源節(jié)。程序運行后,會搜索這兩個資源節(jié),然后這兩個資源分別釋放如下文件:

  • C:\Windows\mpsvc.dll

  • C:\Users\USER\AppData\Local\Temp\mpsvc.dll(黑文件)

  • C:\Windows\MsMpEng.exe

  • C:\Users\USER\AppData\Local\Temp\MsMpEng.exe(白文件)


然后運行C:\Windows\MsMpEng.exe。


加載dll并調(diào)用其中的惡意函數(shù)

MsMpEng.exe加載mpsvc.dll并調(diào)用mpsvc.dll中的惡意函數(shù)ServiceCrtMain。


動態(tài)解密勒索代碼并跳轉(zhuǎn)執(zhí)行

經(jīng)過一系列內(nèi)存解密操作后最終開始執(zhí)行邏輯。


解密配置

 

創(chuàng)建互斥體

Global\422BE415-4098-BB75-3BD9-3E62EE8E8423

 清空回收站

調(diào)用函數(shù)shell32.SHEmptyRecycleBinW清空回收站。

 提權(quán)

使用函數(shù)ntdll.RtlAdjusiPrivilege獲得調(diào)試權(quán)限。

文件加密

1.使用IO完成端口

勒索程序根據(jù)系統(tǒng)CPU創(chuàng)建對應(yīng)數(shù)量的加密線程,然后綁定IO完成端口的形式加密文件,提高了加密文件的速度。

2.加密算法

勒索程序使用了一套復(fù)雜的加密系統(tǒng)(Curve25519橢圓曲線算法(DECH),AES算法和Salsa20),使得文件很難被解密。經(jīng)過分析,我們找到了Salsa20加密所使用的常量(expand 32-byte kexpand 16-byte k)。


AES算法輪操作函數(shù)

常量:121665,我們通過google搜索該常量發(fā)現(xiàn),Curve25519橢圓曲線算法使用該常量。

在Github上找到的Curve25519橢圓曲線算法實現(xiàn)代碼里同樣找到該常量。


加密流程

首先DECH算法生成兩組密鑰對,Session,F(xiàn)ile:

Sesson_Pulic 、Session_Privite ;

File_Public、File_Privite。

使用File_Privite和Session_Public通過DECH算法生成共享密鑰File_Encryption,然后將共享密鑰File_Encryption作為Salsa20的密鑰用于文件加密。 

再次通過DECH算法生成一個密鑰對,R_public和R_privite。使用攻擊者的公鑰Attacher_Public和R_Privite生成共享密鑰S。

使用共享密鑰S作為AES的密鑰對Session_Privite進行加密生成Encrypted_Key,將Encrypted_Key,R_public,F(xiàn)ile_Public寫到文件尾部。


文件加密完成后丟棄File_Encryption、Session_Public、 File_Privite、 R_Privite、Session_Privite和 S。
其中Attacher_Public為:

base64編碼形式為:

9/AgyLvWEviWbvuayR2k0Q140e9LZJ5hwrmto/zCyFM=

 

不能對加密文件進行解密

由于Attacher_Privite未知,無法導(dǎo)出共享密鑰S;沒有共享密鑰S,就無法導(dǎo)出Session_Privite;沒有Session_Privite,就無法得到用于文件加密的File_Encryption。


加密共享


更改桌面背景

文件加密完成后,使用GDI32庫函數(shù)繪制勒索桌面背景。


重啟刪除白文件


亞信安全產(chǎn)品解決方案

 

亞信安全病毒碼版本16.851.60,云病毒碼版本16.851.71,全球碼版本16.851.00 已經(jīng)可以檢測,請用戶及時升級病毒碼版本;

亞信安全DDAn沙盒平臺已經(jīng)可以檢測;


image.png


亞信安全產(chǎn)品行為監(jiān)控功能可以攔截該勒索病毒,建議用戶開啟行為監(jiān)控功能,有效攔截已知和未知勒索病毒;


image.png


安全建議


  • 打開系統(tǒng)自動更新,并檢測更新進行安裝;

  • 不要點擊來源不明的郵件以及附件;

  • 不要點擊來源不明的郵件中包含的鏈接;

  • 請到正規(guī)網(wǎng)站或者應(yīng)用商店下載程序;

  • 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;

  • 盡量關(guān)閉不必要的端口;

  • 盡量關(guān)閉不必要的網(wǎng)絡(luò)共享;

  • 請注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。


IOC:

SHA-256 :D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E

上一篇:【媒體聲音】云主機安全生態(tài)中的難題:安全能力原子化

下一篇:高危!Windows提權(quán)漏洞,攻擊者可獲取系統(tǒng)SYSTEM權(quán)限

返回列表
分享到微信
X