新型“无文件”+代码注入勒索软件SOREBRECT现江湖

简介:

Trend Micro安全研究人员警告称,新浮现一款名为“SOREBRECT”的勒索软件,其结合了“无文件”攻击和代码注入两种攻击方式。

新型“无文件”+代码注入勒索软件SOREBRECT现江湖-E安全

攻击方式

Trend Micro公司表示,几个月前,SOREBRECT设法感染中东组织机构的网络和系统被发现。这款勒索软件具备不寻常的加密技术,滥用PsExec公用程序利用代码注入,同时还注重隐身。

SOREBRECT装有自毁程序,将自身变成“无文件”威胁,即终止主要的二进制文件之前,将代码注入合法系统进程。此外,这款软件会尽可能删除受影响系统的事件日志和其它项目产生文档(Artifact),以阻碍取证分析,阻止研究人员追踪威胁活动。

受威胁的国家

被发现时,SOREBRECT的目标主要集中在科威特和黎巴嫩等中东国家。然而,在WannaCry肆虐之前,这款恶意软件就已经出现在加拿大、中国(包括中国台湾地区)、克罗地亚、意大利、日本、墨西哥、俄罗斯和美国的电脑中,感染的行业包括制造业、技术和电信行业。

Trend Micro表示,考虑到勒索软件的潜在影响和盈利能力,SOREBRECT出现在其它地方、甚至网络犯罪地下市场都不足为奇。

攻击期间,这款恶意软件会滥用PsExec。这就意味着,攻击者已经获取了管理员登录凭证,使远程设备暴露或遭受蛮力攻击。

SOREBRECT勒索软件

SOREBRECT并非首个滥用PsExec的勒索软件家族,其它这类勒索软件还包括SamSam和Petya。 PetrWrap也曾滥用该公用程序在被感染服务器或端点上安装Petya勒索软件。但区别在于,SOREBRECT这种新型威胁会恶意部署PsExec,并执行代码注入。

E安全百科:PsExec,轻型的 telnet 替代工具,无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。是系统管理员执行命令或在远程系统运行可执行文件使用的合法Windows命令行公用程序。

新型“无文件”+代码注入勒索软件SOREBRECT现江湖-E安全

Trend Micro解释称,SOREBRECT将代码注入Windows的svchost.exe进程,但主要的二进制文件会自毁。部署的勒索软件二进制文件一旦结束执行并自我终止,注入的svchost.exe(合法的Windows服务托管系统进程)会恢复执行加密有效载荷。

研究人员还认为,相比远程桌面协议(RDP),这款勒索软件的代码注入功能使攻击更有效。攻击者通过PsExec可以远程执行命令,而不是提供登录会话或手动将此恶意软件转移到目标设备。

SOREBRECT还使用wevtutil.exe删除系统事件日志和vssadmin,以删除卷影副本(Shadow Copies),从而掩盖行踪,并防止用户恢复文件。此外,这款恶意软件还使用TOR网络与C&C服务器通信。

研究人员警告称,SOREBRECT还可以加密网络共享文件,即SOREBRECT会扫描网络寻找资产,并枚举开放式共享(包括文件夹、内容或通过该网络易访问的外围设备),之后它会启动到共享的连接,无论读取和写入访问是否可用,这款恶意软件都会对发现的共享进行加密。

保护措施

E安全建议IT/系统管理员:

限制用户写入权限。

限制PsExec特权。

随时备份文件。

升级系统和网络降低遭受攻击的概率。

员工的安全常识培训。

部署多层安全机制。



本文转自d1net(转载)

相关文章
|
程序员 项目管理
程序员如何做好个人职业规划彻底摆脱焦虑?
程序员如何做好个人职业规划彻底摆脱焦虑?
305 0
|
负载均衡 前端开发 Java
Spring Cloud Feign(声明式服务调用)使用指南
Spring Cloud Feign(声明式服务调用)使用指南
4586 0
Spring Cloud Feign(声明式服务调用)使用指南
|
12月前
|
Java Shell C++
Springboot加载注入bean的方式
本文详细介绍了Spring Boot中Bean的装配方法。首先讲解了使用@Component、@Service、@Controller、@Repository等注解声明Bean的方式,并解释了这些注解之间的关系及各自适用的层次。接着介绍了通过@Configuration和@Bean注解定义Bean的方法,展示了其灵活性和定制能力。最后讨论了@Component与@Bean的区别,并提供了在Spring Boot应用中装配依赖包中Bean的三种方法:使用@ComponentScan注解扫描指定包、使用@Import注解导入特定Bean以及在spring.factories文件中配置Bean。
774 0
|
8月前
|
人工智能 BI 数据安全/隐私保护
纷享销客CRM全面评测
在企业数字化转型浪潮中,国产CRM备受青睐。本文对国产CRM第一梯队产品进行分析,对比了其中两款典型产品,从技术实力、行业经验、产品功能等多方面阐述差异,为不同规模企业的CRM选型提供参考建议。
|
11月前
|
安全 网络协议 应用服务中间件
内网ip申请SSL证书实现https访问
内网IP地址虽不能直接申请公网SSL证书,但可通过IP SSL证书保障数据安全。流程包括:确定固定内网IP,选择支持内网IP的CA,注册申请证书,生成CSR,验证IP所有权,下载部署证书至Web服务器,测试HTTPS访问,确保配置正确及证书有效。此方法适用于内网环境,提升数据传输安全性。
内网ip申请SSL证书实现https访问
|
12月前
|
数据可视化 小程序 API
什么是低代码(Low-Code)?我们需要低代码吗?
低代码是一种通过可视化界面和配置化方式减少手写代码工作量的软件开发技术和工具模式,适合专业开发者及非技术人员快速创建应用。本文基于作者六年实践经验,深入浅出地讲解低代码的核心价值、应用场景及其对企业、开发团队和个人开发者的意义,并推荐了织信Informat、宜搭、爱速搭等十款主流低代码平台,帮助读者快速了解和选择合适的工具。全文干货满满,建议收藏。
|
缓存 Linux 网络安全
解决 CentOS 7 官方 yum 仓库无法使用的最佳实践
【8月更文挑战第18天】若 CentOS 7 的官方 YUM 仓库无法使用,可按以下步骤解决: 1. **检查网络连接**: - 确认服务器能正常上网,可通过访问外部网站或网络诊断测试。 - 检查防火墙设置,避免其阻挡 YUM 的网络访问。 2. **检查 YUM 配置**: - 核实 `/etc/yum.repos.d/` 下的 `CentOS-Base.repo` 文件中仓库地址正确无误。 - 确认配置文件内的 `enabled` 选项设为 `1` 以启用仓库。
4244 0
|
SQL druid Java
解决 ‘The last packet successfully received from the server was xxx milliseconds ago‘ 问题
解决 ‘The last packet successfully received from the server was xxx milliseconds ago‘ 问题
6464 0
|
安全 关系型数据库 MySQL
CentOS 7系统加固详细方案SSH FTP MYSQL加固
CentOS 7系统加固详细方案SSH FTP MYSQL加固