亚洲真人娱乐 > 彩票观察 > 「瑞奇娱乐场平台」新型“无文件” + 代码注入勒索软件SOREBRECT现江湖

栏目热门

整站热门

「瑞奇娱乐场平台」新型“无文件” + 代码注入勒索软件SOREBRECT现江湖

发布于: 2020-01-11 18:21:38

「瑞奇娱乐场平台」新型“无文件” + 代码注入勒索软件SOREBRECT现江湖

瑞奇娱乐场平台,e安全6月21日讯trend micro安全研究人员警告称,新浮现一款名为“sorebrect”的勒索软件,其结合了“无文件”攻击和代码注入两种攻击方式。

攻击方式

trend micro公司表示,几个月前,sorebrect设法感染中东组织机构的网络和系统被发现。这款勒索软件具备不寻常的加密技术,滥用psexec公用程序利用代码注入,同时还注重隐身。

sorebrect装有自毁程序,将自身变成“无文件”威胁,即终止主要的二进制文件之前,将代码注入合法系统进程。此外,这款软件会尽可能删除受影响系统的事件日志和其它项目产生文档(artifact),以阻碍取证分析,阻止研究人员追踪威胁活动。

受威胁的国家

被发现时,sorebrect的目标主要集中在科威特和黎巴嫩等中东国家。然而,在wannacry肆虐之前,这款恶意软件就已经出现在加拿大、中国(包括中国台湾地区)、克罗地亚、意大利、日本、墨西哥、俄罗斯和美国的电脑中,感染的行业包括制造业、技术和电信行业。

trend micro表示,考虑到勒索软件的潜在影响和盈利能力,sorebrect出现在其它地方、甚至网络犯罪地下市场都不足为奇。

攻击期间,这款恶意软件会滥用psexec。这就意味着,攻击者已经获取了管理员登录凭证,使远程设备暴露或遭受蛮力攻击。

sorebrect勒索软件

e安全百科:psexec,轻型的 telnet 替代工具,无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。是系统管理员执行命令或在远程系统运行可执行文件使用的合法windows命令行公用程序。

研究人员还认为,相比远程桌面协议(rdp),这款勒索软件的代码注入功能使攻击更有效。攻击者通过psexec可以远程执行命令,而不是提供登录会话或手动将此恶意软件转移到目标设备。

sorebrect还使用wevtutil.exe删除系统事件日志和vssadmin,以删除卷影副本(shadow copies),从而掩盖行踪,并防止用户恢复文件。此外,这款恶意软件还使用tor网络与c&c服务器通信。

研究人员警告称,sorebrect还可以加密网络共享文件,即sorebrect会扫描网络寻找资产,并枚举开放式共享(包括文件夹、内容或通过该网络易访问的外围设备),之后它会启动到共享的连接,无论读取和写入访问是否可用,这款恶意软件都会对发现的共享进行加密。

保护措施

e安全建议it/系统管理员:

限制用户写入权限。

限制psexec特权。

随时备份文件。

升级系统和网络降低遭受攻击的概率。

员工的安全常识培训。

部署多层安全机制。

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。

@e安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考。

澳门威尼斯人官网手机版