当前位置:首页 > 网络安全 > 正文内容

“匿影”僵尸网络携新一轮勒索再临,360安全大脑独家揭秘攻击全链路

访客4年前 (2021-04-16)网络安全962

导语:

日前,360安全大脑全网独家截杀WannaRen?幕后元凶“匿影”僵尸网络的新一轮攻击活动,以全维度主动预警式安全防御,起底“匿影”僵尸网络威胁,护航党政军企多端用户网络安全。

“WannaRen”二代已经来了

你知道吗?

11月23日早,刚进入工作状态的安全专家小刘,接到了一封来自“360安全大脑——主防威胁监测平台”的告警通知,这封告警通知显示,老对手“匿影”僵尸网络又开始新一轮行动了。而这封看似寻常的告警通知,已经包含了“匿影”僵尸网络整个攻击过程的完整脉络。

原来,360安全大脑利用全网主动防御探针监测到可疑攻击后,第一时间对攻击相关威胁情报进行全网大数据聚合分析,智能比对精准提取攻击代码差异,并生成全维度高精准性分析结果,呈现威胁信息的同时,并为分析人员提供新一轮攻击预警信息。

自动分析系统展示此次攻击与过去攻击的差异

呈现在安全专家小刘面前的,正是一幅360安全大脑生成的攻击代码差异图像,它清晰地展示了“匿影”僵尸网络11月22日的攻击代码与11月23日的攻击代码之间的差异。基于可视化图像,小刘发现在这次“匿影”僵尸网络更新中,攻击者下线了之前vmp.exe的投放,并改从hxxps://api.strongapt.ml/vmp2.jpg投递vmp2.exe病毒运行。为了确定“匿影”僵尸网络是否有较大动作,小刘将目光转向“360安全大脑——主防威胁可视化平台”。

“匿影”僵尸网络的攻击趋势图

“主防威胁可视化平台”对每日新出现的威胁事件进行聚合与可视化展示,该平台可实时展示流行僵尸网络的攻击态势,“匿影”僵尸网络就是监控目标之一。平台监控了“匿影”僵尸网络的攻击趋势、相关网络与终端维度威胁情报的数量以及生命周期,通过上述数据,小刘清楚地了解到“匿影”僵尸网络的方方面面,并以此进行相应的研判和分析。

对“匿影”僵尸网络的攻击趋势以及相关威胁情报进行分析后,小刘判断“匿影”僵尸网络近期极可能有新动作,但目前还处于布局阶段,遂决定继续观察,等待其下一步行动。

多封告警洞悉“匿影”家族“车轮战”

360安全大脑独家披露

11月24日早,又一封告警通知出现在了小刘面前。

和上一封告警通知相比,内容仿佛“两级反转”,下载运行vmp2.exe的代码消失不见,老版本中的vmp.exe又回归视野中。事出反常必有妖,小刘意识到这可能是攻击者的一些测试行为。小刘再次决定用“主防威胁可视化平台”探个究竟。

因为除了优秀的可视化能力,“主防威胁可视化平台”还会对每天出现的新威胁进行家族归类,并输出配套辅助信息以方便分析人员分析。

此时,小刘开始检查“匿影”一周以来攻击活动的细节。

“匿影”家族一周来的攻击细节

展示在小刘面前的,是这一周“匿影”僵尸网络的攻击细节,从相关威胁情报、威胁关键词、威胁描述、沙箱结果到攻击链路图,无不囊括其中。在对这一周的威胁进行检索之后,小刘发现了隐藏在背后的秘密——继上一次WannaRen勒索病毒之后,“匿影”僵尸网络再一次投递勒索病毒。

而告诉他这一结果的,正是360沙箱云。

360安全大脑主防威胁监测平台会将发现的攻击行为,自动投递360沙箱云,以进行攻击行为分析,这也大大加快了对攻击事件和病毒木马的分析速度。

360沙箱云对攻击样本进行分析

360沙箱云展示的攻击链路图

小刘从360沙箱云看到的攻击链路图,清晰地展示了“匿影”僵尸网络存在文件加密相关的动作以及勒索信息的释放,并告诉小刘这可能是一起勒索攻击。

也就是说,WannaRen勒索病毒事件可能卷土重来。

打响勒索疫情“反击战”

360安全大脑释放截杀解密

此时,安全专家小刘已进入战备状态,他通知同事注意关注勒索病毒反馈情况,同时检查360安全终端防御情况,并将相关情报信息推送到360情报云。

11月24日下午,第一例反馈到来。虽然加密文件的后缀不再是WannaRen,而是nocry,但从受害环境看,攻击者就是“匿影”僵尸网络。此时,360解密大师已在紧锣密鼓地开展解密分析工作。

同一时间,小刘开始通过“360安全大脑——攻击链路图”对“匿影”僵尸网络攻击目标进行深入排查。

“360安全大脑——攻击链路图”清晰地展示攻击是如何发生、发展,以及攻击到哪一步时被360安全终端阻断,并以分析人员熟悉的进程树风格展示攻击全景。很快,小刘对所有被攻击的机器完成检查,没有发现一台机器被攻破。

此时,360解密大师已成功发现勒索病毒中的算法缺陷,并开发出针对该勒索病毒的解密支持,顺利为部分未使用360产品但中招勒索病毒的用户恢复文件。

协助用户解密文件

至此,“匿影”僵尸网络攻击事件暂告一段落。

全网首家支持新版WannaRen解密

360解密大师获医疗领域用户致谢

此次CryptoJoker(WannaRene二代)勒索病毒使用nocry后缀,且主要通过WannaRen投递渠道——“匿影”僵尸网络进行投递,该僵尸网络近年来持续活跃,感染设备基数较大,危害严重。一直以来“匿影”家族主要通过“永恒之蓝”漏洞,攻击目标计算机,并在其中植入挖矿木马,借“肉鸡”挖取PASC币、门罗币等加密数字货币,以此牟利发家。

此次“匿影”下发的勒索病毒在一周时间内更新了多次,我们选择了其中一个持续时间较长的版本为大家介绍。

首先攻击者通过脚本下载勒索病毒文件到ProgramData目录并运行勒索病毒,之后病毒loader程序开始通过内存加载shellcode方式执行,其中伪装成jpg图片的文件才是真正的勒索程序。

释放到ProgramData目录下的勒索病毒文件

最后病毒会将代码注入到cmd.exe,calc.exe和svchost.exe宿主进程中,并开始加密过程。

此次病毒使用CryptoAPI进行文件加密,加密后文件缀名被修改为nocry,同时在多个文件目录下显示不同语言版本的“勒索信”。

注入到宿主进程后,使用CryptoAPI进行文件加密

除此之外,匿影还会下发窃取“数字货币”和个人隐私信息的攻击代码,利用everything.exe扫描本地文件,通过匹配特定文件名,找到本地账户虚拟货币相关文件,之后利用curl工具上传到其网盘之中。

利用everything.exe扫描本地文件

关键字匹配文件名,窃取相关文件

不过广大用户无需担心,在360安全卫士准确、实时和智能的保护下,此类无文件攻击、宿主进程寄生隐藏等手法都无法绕过360安全卫士的检测,360安全大脑赋能的新一代防御技术可以做到防患于未然,亦可对中毒机器进行彻底查杀。

360安全卫士多维度防护

从360安全大脑监测数据来看,近期该勒索病毒正在全网流窜,且除个人用户外,已有医疗等企业级用户不幸中招。万幸的是,在360安全大脑的极智赋能下,360解密大师已为帮助该医疗机构成功恢复加密文件,为表谢意该医疗机构特别发来感谢信。

(部分用户致谢信)

在勒索病毒转向高价值目标的趋势下,医疗、政府等成为不法黑客团伙眼中的“肥肉”。对此,360安全大脑针对党政军企等各领域用户,给出如下安全建议:

  • 对于个人用户,可及时前往weishi.360.cn下载安装360安全卫士,强力查杀此类病毒木马;
  • 对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解;而对于小微企业,则可直接前往safe.online.360.cn,免费体验360安全卫士团队版,抵御木马病毒攻击;
  • 企业360情报云的ioc检测、发现能力已经全面集成到本地大脑、asia、安全DNS等产品中,用户可以通过采购这些产品获取高效及时的最新威胁情报支持,提升安全产品防御能力。
  • 目前360沙箱云已对外提供公开服务,通过沙箱云可以快速准确对可疑样本完成自动化分析,帮助企业管理员更好应对企业内部面临的安全问题。
  • 对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;
  • 提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合。
  • 扫描二维码推送至手机访问。

    版权声明:本文由黑客接单发布,如需转载请注明出处。

    本文链接:https://therlest.com/105417.html

    分享给朋友:

    ““匿影”僵尸网络携新一轮勒索再临,360安全大脑独家揭秘攻击全链路” 的相关文章

    创业板投资风险揭示书,创业板风险揭示书

    保荐机构(主承销商):中泰证券股份有限公司 苏州天路光科技股份有限公司(以下简称“天路科技”、“发行人”或“公司”)首次公开发行不超过2579万股普通股(a股)(以下简称“本次发行”)的申请,已经深圳证券交易所(以下简称“深交所”)创业板上市委员会委员审议通过,并经中国证券监督管理委员会(以下...

    【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

      滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

    干洗对衣物有害吗

    干洗对衣物有害吗 干洗剂实际上就是有机溶剂,所以对衣服多少都有点危害,只不过高级的干洗剂对衣服损伤小一些而已。 随着人们工作的繁忙和生活节奏的加快,现代人更多地把换下的衣物送到洗衣店干洗,以保证衣服不变形和有更多的时间休闲娱乐,这本是一件提高生活品质的好事,但据最新的研究显示,干洗衣物对身...

    尚村最新水貂皮毛价格,丹麦貂皮衣大概多少钱

    样子单女款大概貂皮在8000,014-3-24河北尚村蓝狐皮价格,不过价格一般比较高的啊,这个就要看品牌的了,多看看,我要打印IE收藏放入公文包我要留言查看留言文章来源:中国皮草网添加,60公分6000左右,水貂皮大衣最新价格有木有,这个主要看质量了,水貂皮草大衣真假看皮面:如果是真毛。 元/张,5...

    松子仁多少钱一斤市场价_2021年松子价格预测

    你那还不算最好的,有没有知道价钱的麻烦说一下.丰收的时候,碳水化合物等。市面上零售大概在五六十元一斤,铁6点7毫克和不饱和脂肪酸等营养物质。成吨出厂价就在28万/吨。45一斤应该是开口松子,那要看你是买还是卖了,45一斤应该是开口松子。 滋润皮肤,松子仁估计要100多一斤麻烦采纳,丰收的时候,一斤都...

    53度最便宜酱香郎酒_郎酒经典酱香53度

    我一朋友,500多到600多,10年红花郎288,现在估价至少在2000元以上,郎酒老郎酒淡雅2002年出厂,三星,关键是看款型,1992年53-1度酱香型。 郎酒还是1898起步比较好。对了,或者以前的,未来两年必定疯长!不知道怎么上图,现在的价格是158元每瓶便宜,你好。 看目前郎酒的上涨势头,...

    评论列表

    酒奴笑惜
    3年前 (2022-07-04)

    日早,刚进入工作状态的安全专家小刘,接到了一封来自“360安全大脑——主防威胁监测平台”的告警通知,这封告警通知显示,老对手“匿影”僵尸网络又开始新一轮行动了。而这封看似寻常的告警通知,已经包含了“匿影”僵尸网络整个攻击过程的完整脉络

    夙世绿邪
    3年前 (2022-07-04)

    发现的攻击行为,自动投递360沙箱云,以进行攻击行为分析,这也大大加快了对攻击事件和病毒木马的分析速度。360沙箱云对攻击样本进行分析360沙箱云展示的攻击链路图小刘从360沙箱云看到的攻击链路图,清晰地展示了“匿影”僵尸网络存在文件加密相关的动作以及勒

    世味比忠
    3年前 (2022-07-04)

    用户,可及时前往weishi.360.cn下载安装360安全卫士,强力查杀此类病毒木马;对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-66

    蓝殇抌妤
    3年前 (2022-07-04)

    络11月22日的攻击代码与11月23日的攻击代码之间的差异。基于可视化图像,小刘发现在这次“匿影”僵尸网络更新中,攻击者下线了之前vmp.exe的投放,并改从hxxps://api.strongapt.ml/vmp2.jpg投递vmp2.exe病毒运行。为了确定“匿影”僵尸网络

    礼忱橘欢
    3年前 (2022-07-04)

    可实时展示流行僵尸网络的攻击态势,“匿影”僵尸网络就是监控目标之一。平台监控了“匿影”僵尸网络的攻击趋势、相关网络与终端维度威胁情报的数量以及生命周期,通过上述数据,小刘清楚地了解到“匿影”僵尸网络的方方面面,并以

    发表评论

    访客

    ◎欢迎参与讨论,请在这里发表您的看法和观点。