记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华RobbinHood勒索软件另辟渠道,通过驱动漏洞干翻杀毒软件
概述
2月初,奇安信病毒响应中心在日常样本监控过程中发现了一款名为“RobbinHood”的勒索软件通过使用“另类”的方式关闭并删除杀软,经分析,在执行过程中会释放并加载带有漏洞的技嘉驱动程序,之后会对该驱动程序进行漏洞利用,关闭Windows DSE机制,一旦利用成功便会迅速加载没有签名的Rootkit,Rootkit主要功能为结束并删除指定的进程和杀软,上述操作完成后开始加密。
威胁细节
在以往的勒索软件中,Nemty勒索使用Taskkill来结束指定的进程和服务,Snatch勒索会进入安全模式来加密文件,Sodinokibi勒索会使用CVE-2018-8453内核提权漏洞来提升自己的权限结束相关进程和服务。而本文的主角“RobbinHood”结束进程和服务的方式要比上述“残暴”不少。
RobbinHood
数据显示:美国只有38%的政府工作人员接受了勒索软件预防培训
IBM调查显示,有73%的政府人员担心勒索软件会威胁到全国各地的城市。与自然灾害和恐怖袭击相比,更多人担心对社区的网络攻击。
2019年,美国有100多个城市受到勒索软件的攻击。新的Harris Poll中的数据发现,勒索软件的攻击可能将更加广泛,每6个受访者中有1个透露其所在部门受到勒索软件攻击的影响。
尽管这些攻击事件有所增加,但接受调查的员工中有一半的人没有任何培训,只有38%的员工接受了全面的勒索软件预防培训。此外,根据接受调查的州和地方政府IT 或安全专业人员中,有52%的人认为用于管理网络攻击的预算仍然停滞不前。
IBM Security威胁情报副总裁Wendi Whitmore表示:“我们城市中出现的勒索软件流行趋势表明,城市必须像应对自然灾害一样,更好地为网络攻击做好准备。”
不交“赎金”就打爆!出海游戏企业如何应对DDoS勒索
近年来,中国互联网出海已成燎原之势,游戏出海,网络先行。但是,DDoS 攻击却始终是环绕在出海游戏企业头顶的噩梦。近期,UCloud安全中心就接到一例关于DDoS勒索攻击的求助,最终经过完备的云上安全防护,成功逼退黑客。一、不交“赎金”就打爆!2019年12月下旬,某游戏公司突然遭到70G流量的DDoS攻击,并基于前期购买的UCloud高防服务抵抗住了这一波攻击。游戏公司负责人G先生本以为这就是一次小打小闹,黑客方应该已经知难而退。没有料到的是,这仅仅是一次攻击的前奏曲。当天晚上,G先生便收到了来自黑客组织的勒索消息。黑客方声称来自A记,A记是一个臭名昭著的国际黑客组织,从2018年起便陆续被各大安全厂商曝光DDoS勒索的行径。图:黑客勒索的沟通截图在G先生与黑客的沟通过程中,黑客声称第一次的70G DDoS攻
勒索软件五大家族的攻击目标与方法
勒索软件是劫持数据以索求赎金的一类恶意软件,面世已颇有些年头。第一起勒索软件攻击发生在1991年,当时一位生物学家通过平邮将载有首个勒索软件PC Cyborg的软盘寄给其他研究艾滋病的科学家。新千年第一个十年中期,采用加密技术的首款勒索软件Archiveus出现,其密码至今仍可在维基百科页面上找到——尽管此勒索软件早已被安全社区击溃。10年代初,“警方”系勒索软件包浮出水面;此类勒索软件因假冒司法机构发出的违法警告并索取“罚款”而得名,开始利用新一代匿名支付服务避开监管渔利。21世纪第二个十年里,一种新的勒索软件趋势浮现:网络罪犯首选加密货币作为赎金支付方式。加密货币本就专为不可追踪的匿名支付而设计,对勒索者的吸引力显而易见。比特币是最为著名的加密货币,绝大多数勒索软件攻击者都要求以比特币支付赎金。不过,比特币
头号威胁:2020年勒索软件重装上阵
2020年,热度飙升的勒索软件已经成为与APT并列的最危险的网络安全威胁。针对性、复杂化和高伤害成本是2020年勒索软件加速“进化”的三大特征。重装上阵过去一年中业界多家安全厂商对勒索软件监测发现:勒索软件在陷入一段时间低潮后,已经全面恢复活力,攻击势头上升,频率也在增加。Juniper Network威胁实验室负责人Mounir Hahad指出了勒索软件攻击再次激增的两大深层原因:首先,加密货币价格的变化无常。很多加密货币劫持者都利用受害者电脑挖掘开源加密货币门罗币(Monero);随着门罗币价格的下跌,某个时候,加密货币劫持者就会意识到挖矿还不如勒索软件攻击赚钱。而由于已经在受害者主机上植入了木马下载器,加密货币劫持者就很容易在时机合适的时候发起勒索软件攻击。刺激勒索软件卷土重来的另一大趋势就是企业级攻击的
Geerban勒索病毒正在爆破传播,还用了数十款密码抓取工具
一、概述腾讯安全御见威胁情报中心接受到用户求助,称其公司内服务器文件被全盘加密,被加密文件全部修改为.geer类型。经远程协助查看,攻击者疑似通过RDP弱口令登录成功后投毒,再将系统日志全部清除,并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多,攻击者利用这些工具,对内网其它机器实施攻击,以扩大勒索病毒对该企业网络的破坏数量,勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件,暂无有效的解密工具,我们提醒各政企机构高度警惕,尽快消除危险因素,强化内网安全。 二、分析该勒索病毒编写极为简洁,仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数,希望借此躲过一些3环
卡巴斯基:2019年在勒索软件围攻下的市政组织
当今,人们对安全措施必要性的整体认识正在增强,因此也反向促使着网络犯罪分子不断精进他们的攻击目标。回顾过去三年,在所有被恶意软件攻击的用户中,勒索软件的占比似乎呈现出下降趋势——2017年上半年的比例为3.53%,2019年上半年比例为2.94%。虽然这一变化看似不大,但现实中勒索软件往往能够造成严重的损害,我们也不应掉以轻心。图1.受勒索软件攻击的用户在被恶意软件攻击的所有用户中占比卡巴斯基观察到,每半年间大约有90万至120万的用户受到勒索软件攻击。图2.2017年上半年至2019年上半年受到勒索软件攻击的用户数量各类形形色色的勒索软件其原理都是共通的:将计算机上的文件转换为加密数据,并要求受害者赎金换取文件解密。
Matrix勒索病毒最新变种GSAFE曝光,单台赎金高达十万人民币
近日,深信服安全团队捕获到Matrix勒索病毒最新GSAFE变种,该勒索病毒使用Delphi语言编写,加密文件的同时,会将文件名修改为[邮箱].随机字符-随机字符.变种标识的格式,随后释放名为#GSAFE_README#.rtf的勒索信息文件:在近期的攻击中,黑客索要单台主机的赎金竟高达2.5个比特币(换算人民币约13万),而在今年年初,勒索病毒攻击事件中单台主机的赎金仅为0.2~0.8个比特币(换算人民币约1~4万):截至目前,该勒索病毒没有破解方法,暂无公开的解密工具,一旦数据被加密,受害者将陷入高额赎金和数据丢失两种艰难抉择的境地中。早在今年1月,深信服安全团队曝光过该Matrix勒索病毒的另一变种“PRCP变种
新的勒索软件DeathRansom开始声名大噪
近日,一款新的勒索软件问世-DeathRansom。这个勒索软件一开始很不稳定,但是现在它的所有问题都已经解决,并已经开始感染受害者并加密他们的数据。当DeathRansom第一次传播时,它假装对文件进行加密,但是研究人员和用户发现,他们只需要删除附加的.wctc扩展名,文件就可以再次使用。不过,从11月20日左右开始,情况有所变化。不仅受害者的文件真正被加密,而且在勒索软件识别网站ID Ransomware上,有大量与DeathRansom有关的上传。Ransomware上载数据尽管自最初的激增以来人数有所减少,但我们仍然看到新受害者不断涌入,这意味着DeathRansom很可能正在进行活跃的传播。不幸的是
一家人就是要整整齐齐,GarrantyDecrypt勒索病毒最新变种居然做出这种事!
近日,深信服安全团队追踪到GarrantyDecrypt勒索病毒的最新变种,该变种会加密其所能访问的除Windows目录以外的所有文件,可谓寸草不生。由于其采用RSA+salsa20算法加密,目前该勒索样本加密的文件无解密工具。文件被加密后会被加上.bigbosshorse后缀:在被加密的目录下会生成一个名为”#Decryption#”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等:病毒详细分析病毒文件从对样本的分析中未发现有主动传播行为,病毒本体为一个Win32 exe程序,其编译时间为2019/11/16:病毒在执行完加密行为后会进行自删除:加密准备删除磁盘卷影:禁止Windows故障恢复画
利用IQY(Excel Web Query)文件分发,Buran勒索病毒又出新变种
近日,深信服安全团队关注到一项新的垃圾邮件活动用来传播Buran勒索病毒,其通过传播IQY(Microsoft Excel Web Query)附件,诱导用户打开附件,该附件通过请求网上数据执行powershell,用来进行病毒母体的下载。该家族之前使用”Rig Exploit Kit”工具包(使用CVE-2018-8174-微软IE浏览器远程命令执行漏洞)进行攻击,可以看到勒索病毒在使用多种技术以及方式进行攻击,让受害者防不胜防。据悉,Buran勒索病毒实为VegaLocker勒索病毒的变种,两者在加密后都会修改文件后缀为生成的用户ID,勒索信息文件结构也十分相似:左图为VegaLocker勒索病毒,右图为Buran
破解 “.YOUR_LAST_CHANCE” 勒索病毒攻击
勿抱幻想说起勒索病毒,近年来最为人所熟知的要数2017年爆发的WannaCry,其以一己之力引发了席卷全球的大骚乱——波及150多个国家,超30万名用户中招,累计损失逾80亿美金,并在医疗、金融、能源等关系国计民生的重要行业制造了一系列严重危机事件…今天,距离大魔王WannaCry风波平息已过去两年多的时间,但安全仍未占据主动!如果你已经开始忘记勒索病毒曾经秀过的肌肉,安华金和在此严肃认真地给予友情提醒:相关数据显示,我国2018全年共监测到超430万台计算机遭受勒索病毒攻击,平均每天约1.2万台。其中,企业成为勒索病毒最为热衷的攻击对象——在全球十大流行勒索病毒家族中,有九个都涉及企业攻击。仅2019年上
发布时间:2019-11-19 18:25 |
阅读:17883 | 评论:0 |
标签:勒索软件
新型勒索软件PureLocker现身,被Cobalt、FIN6等多个威胁组织使用
Intezer和IBM X-Force研究团队近期发现了一类新的勒索软件——PureLocker,它由一位资深的恶意软件即服务(MaaS)供应商在暗网上出售,并被Cobalt、FIN6等多个威胁组织使用。攻击者利用它对企业的生产服务器发起定向勒索攻击。PureLocker与“more_eggs”后门恶意软件密切相关,它由PureBasic编程语言编写,针对的操作系统包括Windows和Linux。PureLocker逃避检测的技术十分巧妙,出现几个月后才被安全人员发现,下面将介绍PureLocker的一些技术细节。初步分析分析的Windows样本是一个32位DLL,伪装成一个名为Crypto ++的C ++加密库:在查
京广多地超2万台电脑被挖矿 攻击者利用永恒之蓝漏洞横向扩散
一、背景腾讯安全御见威胁情报中心检测到挖矿木马家族Lcy2Miner感染量上升,工程师对该病毒的感染进行回溯调查。结果发现,有攻击者搭建多个HFS服务器提供木马下载,并在其服务器web页面构造IE漏洞(CVE-2014-6332)攻击代码,当存在漏洞的电脑被诱骗访问攻击网站时,会触发漏洞下载大灰狼远程控制木马。接着由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块,然后利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播,最终攻击者通过组建僵尸网络挖矿牟利。截止目前该团伙已通过挖矿获得门罗币147个,市值约6.5万元人民币。同时,中毒电脑被安装大灰狼远控木马,该木马具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种
比特币价格回暖,Satan勒索再次变种袭击我国
概述勒索圈有个任性的病毒家族Satan,无论比特币价格如何波动,解密要价都是1 BTC。此次,趁着比特币价格回暖,Satan勒索病毒推出了最新的变种,通过勒索提示信息,可以发现该变种实现了更完整的国产化,作者会提示用户通过火币网购买比特币,或者安装lantern在LocalBitcoins上进行购买,通过这些迹象猜测,Satan团伙中可能加入了某些中国黑客。被加密的文件后缀为[密钥].session。病毒母体为c.exe,文件编译的时间为11月3号。勒索追踪病毒运行后,通过抓包发现,它会与C&C服务器111.90.159.105进行通信,上传加密文件信息、主机信息、病毒运行状态信息。对该IP进行追踪,发现该C&
警惕Medusalocker勒索变种攻击企业,中毒被勒索1比特币
一、概述腾讯安全御见威胁情报中心监测到,Medusalocker勒索病毒在国内有部分感染,该病毒出现于2019年10月,已知该病毒主要利用钓鱼欺诈邮件及垃圾邮件传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。由于病毒使用了RSA+AES方式对文件进行加密,在未得到作者手中的RSA私钥时,暂无解密工具。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。我们提醒政企机构高度警惕,腾讯电脑管家及腾讯御点终端安全管理系统均可查杀拦截该勒索病毒。中毒后尝试与病毒作者邮件沟通,对方开价勒索1BTC购买解密工具,市值约6.5万
公告
九层之台,起于累土;黑客之术,始于阅读