美国政府网站发现JS下载器 攻击者利用网站高信誉度用于投放Cerber勒索软件-阿里云开发者社区

开发者社区> 晚来风急> 正文

美国政府网站发现JS下载器 攻击者利用网站高信誉度用于投放Cerber勒索软件

简介:
+关注继续查看

网络安全公司NewSky Security的研究员Ankit Anubhav上周发现一美国政府网站存在一个恶意JavaScript下载器,可投放非常危险的 Cerber勒索软件 

ankit.png

NewSky Security 公司的研究员 Ankit Anubhav 称 

“ 美国政府网站上存在的 JavaScript 恶意软件会启动 PowerShell 连接 C&C服务器。 

下载文件伪装为gif文件 实际是Cerber勒索软件

该网站提供.zip文件,该文件存在一个含有模糊化的PowerShell的JavaScript。PowerShell会下载一个.gif文件,实则为Cerber勒索软件的可执行文件。以下是该.zip文件的链接:

hxxp://dms(dot)nwcg(dot)gov/pipermail/ross-suggestion/attachments/20170304/9ee8a89e/attachment.zip

下载器在周三被发现,数小时之后恶意代码被移除。目前尚不清楚攻击者是如何在.gov网站上安装恶意代码的以及到底多少访客受到影响。

Anubhav认为该网站遭遇了入侵,或许该网站存储的政府官方邮件附件可能附带恶意软件。他强调指出这一情况与在年初Blank Slate垃圾邮件活动有相似性,那次活动中也传播了Cerber勒索软件。诈骗者在此次活动中利用了一个双重压缩文件,第二次的压缩文件附带恶意JavaScript文件或Microsoft Word文档。 SANS 的分析报告指出 

“ 有意思的是 , 此次活动中利用的文件附件是双重压缩的 , 即 ZIP 文件中还嵌套另一个 ZIP 文件。在嵌套的 ZIP 文件中 , 您会发现一份恶意的 JavaScript (.js) 文件或 Microsoft Word 文档。这些文件用于让计算机感染恶意软件。 

“Blank Slate 推送各种勒索软件 , 而此次活动中主要推送 Cerber勒索软件 。 

报告称攻击者利用美国政府网站的高信誉度传播勒索软件

Anubhav和来自西班牙电信运营商Telefonica的Mariano Palomo Villafranca联合发布分析报告称,享有盛誉的网站,如上述提及的存在恶意软件的美国政府网站,是诈骗者的高优先级攻击向量。 该分析报告称,

安全解决方案通常会将整个 IP 地址范围添加至黑名单 , 确保潜在目标不会遭遇此类攻击 ( 因为站点在用户访问前会被阻断 ) 。为了应对这一防护措施,攻击者专注于将恶意软件投放至合法位置,如 Google 文档或一般被认为或被证实为无恶意内容的正常网站。因此,对于攻击者来说非常理想情况就是在政府网站上投放恶意软件。

在一个攻击场景中,受害人会收到包含该.zip文件的页面的链接。一旦受害人点击了该链接,被模糊处理的JavaScript会被提取,启动PowerShell,导致从攻击者入侵的已知域名中下载恶意软件。

us%20gov%20zip.png

该分析报告指出,.gif可执行文件是一个NSIS安装程序,用于提取Cerber JSON文件配置。目前该链接已下线。然而,当我们分析归档数据时,我们发现该特定Payload为哈希值为“SHA256 1f15415da53df8a8e0197aa7e17e594d24ea6d7fbe80fe3bb4a5cd41bc8f09f6”的Cerber勒索软件。



原文发布时间:2017年9月5日

本文由:securityaffairs 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/us-gov-website-cerber

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
常见JS挂马方法及如何防止网站被黑客挂马?
现在最多见的JS挂马方法有两种,一种是直接将JavaScript脚本代码写在网页中,当访问者在浏览网页时,恶意的挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行。
6491 0
CentOS6.5下安装远程桌面服务端软件VNC Server
VNC 使您可以远程访问和控制您的计算机从另一计算机或移动设备上,无论你在世界的任何地方。常见的使用情形,包括给同事和朋友提供桌面支持、远程管理您的服务器。 将 VNC Server部署到您想要控制计算机,使用VNC Viewer连接到你想要控制的计算机。
918 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
3970 0
奥运票务网站——话题仍在继续(软件设计的前期评估)
今天忽然发现自己的关于奥运票务网站故障的文章,竟然排到了首位:        当然,这并不是炫耀,因为前四名全部是关于奥运票务网站的文章。这充分体现了大家对奥运的关注,而作为一名技术人员对出现这种“国际性”的问题,甚感汗颜。
545 0
网站防CC攻击软件防火墙和WEB防火墙大比较
CC攻击是一种成本极低的DDOS攻击方式,只要有上百个IP,每个IP弄几个进程,那么可以有几百上千个并发请求,很容易让服务器资源耗尽,从而造成网站宕机;防御CC攻击,硬件防火墙的效果不怎么明显,因为CC攻击的IP量太小,很难触发防御机制,反而是软件防火墙、WEB防火墙更容易防御。
1316 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载