信息安全
病毒及漏洞
病毒预报(2019年6月)

  国家计算机病毒应急处理中心通过对互联网的监测发现了一款名为Seon的勒索病毒,并且发现攻击者通过Bizarro Sundown漏洞利用工具包进行传播,该漏洞利用工具包常被用于传播各类勒索病毒如GandCrab、Locky、Hermes等。Seon勒索病毒使用AES算法加密文件,修改文件后缀为 .FIXT,加密完成后弹出hta窗口与用户交互索要赎金。

其首先会生成AES密钥,存放在注册表HKEY_CURRENT_USER\Software\GNU\Display -> windowData中,然后通过ASM获取CUP信息,遍历磁盘,在每个目录下释放勒索信息txt文件,同时使用AES算法对文件进行加密,加密完成后在Temp目录下释放startb.bat并运行,其是用于删除磁盘卷影和备份的bat命令,用于防止恢复备份,最后在Temp目录下释放readme.hta文件,该文件为勒索信息,通过mshta.exe弹出。

针对该恶意程序所造成的危害,建议用户做好安全防护,在所使用的计算机中安装安全防护软件,并将病毒库版本升级至最新版,及时给电脑打补丁修复漏洞,包括Internet Explorer内存损坏漏洞CVE-2016-0189、Flash类型混淆漏洞CVE-2015-7645、Flash越界读取漏洞CVE-2016-4117等,以免使电脑受到该恶意程序的危害。

  国家计算机病毒应急处理中心通过对互联网的监测发现,近日YouTube上出现大量关于比特币生成器的广告宣传视频,号称该工具可为用户免费生成比特币,实际上却是一个散布Qulab信息窃取和剪贴板劫持木马的恶意行为。

这个YouTube骗局中推送的恶意程序是Qulab信息窃取和剪贴板劫持木马。程序执行后,木马会将自身复制到%AppData%\amd64_microsoft-windows-netio-infrastructure\msaudite.module.exe这个位置并启动。

Qulab木马会窃取用户浏览器历史记录、保存浏览器凭据、cookie,以及FileZilla、Discord和Steam中保存到凭据。该木马还会从计算机中窃取.txt、.maFile和.wallet文件。

除此之外,Qulab还会成为剪贴板劫持程序,也就是说它可以监控Windows剪贴板中出现的数据,并且在检测到数据时,还能将其与攻击者想要的不同数据做出交换。在当前的攻击场景中,Qulab会寻找已经复制到剪贴板中的加密货币地址,并将其交换出来。

由于加密货币的地址是长字符串并且难以口头记忆,所以很多用户都不会发觉他们所记录的地址已经被悄悄的换成了别的内容,攻击者可以通过这种方式大肆窃取加密货币。

  国家计算机病毒应急处理中心通过对互联网的监测发现了使用PowerShell来传播恶意软件的恶意挖矿软件PCASTLE Zeroes。该攻击首次出现是在5月17日,到5月22日达到峰值,然后进入稳定期。

通过进一步分析显示这是与之前使用混淆的PowerShell脚本来传播门罗币挖矿恶意软件的活动类似。从受害者分布来看,攻击的目标并不针对某个特定行业,可能主要是因为攻击的方法。使用SMB漏洞利用和暴力破解弱口令并不是针对特定行业的安全问题。攻击活动的运营者也并不关心受感染的用户是谁。

此次攻击活动中还加入了一些新的技巧。比如,使用多种传播方法,使用执行不同任务的组件来传播加密货币挖矿机。还使用多层无文件方法使恶意PowerShell脚本可以在内存中下载和执行payload。最终的PowerShell脚本也是在内存中执行的,并且打包了所有恶意路径,使用SMB漏洞滥用、暴力破解系统、使用pass-the-hash攻击方法,并下载payload。

同时,攻击活动使用XMRig作为payload的挖矿机模块。与其他挖矿机算法相比,门罗币挖矿算法使用的资源并不多,也不需要大量的处理能力。也就是说可以在不让用户察觉的情况下进行加密货币挖矿活动。

针对该恶意程序所造成的危害,建议用户使用行为监控等安全机制来检测和预防异常路径和未授权的程序和脚本的运行,防火墙和入侵防御系统可以拦截恶意软件相关的流量。同时,对系统进行更新和安装补丁程序。攻击者在本次攻击活动中使用了一个拥有补丁的漏洞利用。研究人员还推荐使用虚拟补丁或嵌入式系统。并且限制对系统管理工具的访问,使用合法工具来绕过检测会增加威胁。最后,对系统进行安全加固。认证和加密机制可以防止对目标系统的非授权的修改,加强账号凭证应对暴力破解和词典攻击的能力。

  针对该恶意程序所造成的危害,建议用户做好安全防护,在所使用的计算机中安装安全防护软件,并将病毒库版本升级至最新版,及时给电脑打补丁修复漏洞,以免使电脑受到该恶意程序的危害。


上一条:2020年病毒预报