香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

中文版 Global

過(guò)節(jié)也不消?!猅ellYouThePass的“端午攻勢(shì)”

  • 2024-06-12 09:59:37

概述

隨著端午節(jié)假期的結(jié)束,大家也都逐步回到了日常的工作生活當(dāng)中。而360安全大腦則監(jiān)控到,就在端午節(jié)假期期間,一個(gè)熟悉的勒索病毒家族再度開(kāi)啟了新一輪的“攻勢(shì)”。

根據(jù)監(jiān)控記錄,本輪攻擊最早見(jiàn)于2024年6月8日15時(shí)左右。而隨著時(shí)間的推移,本輪的整體攻擊態(tài)勢(shì)則在緩步升溫,雖然暫未呈“爆發(fā)”態(tài)勢(shì),但依舊不容忽視。

圖1. TellYouThePass借助CVE-2024-4577漏洞的新一輪傳播?

而促成這一輪新的勒索軟件傳播的原因,當(dāng)然不是端午節(jié)假期。根據(jù)監(jiān)控?cái)?shù)據(jù)推測(cè),引發(fā)本輪傳播的一個(gè)重要原因是CVE-2024-4577漏洞的PoC代碼在6月7日時(shí)被首度發(fā)布到了公開(kāi)網(wǎng)絡(luò)上。

圖2. CVE-2024-4577漏洞的PoC運(yùn)行錄屏?

漏洞與傳播

CVE-2024-4577漏洞

結(jié)合目前的監(jiān)控?cái)?shù)據(jù)來(lái)看,本輪攻擊的源頭是來(lái)自于一個(gè)針對(duì)PHP-CGI的參數(shù)注入攻擊漏洞,漏洞的CVE編號(hào)為“CVE-2024-4577”。根據(jù)CVE官方的記述,在帶有該漏洞的環(huán)境中,PHP-CGI模塊可能會(huì)將Windows系統(tǒng)傳入的參數(shù)誤識(shí)別為PHP的配置選項(xiàng)傳遞給正在運(yùn)行的PHP程序,進(jìn)而可能被惡意攻擊者利用來(lái)實(shí)現(xiàn)“任意代碼執(zhí)行”的操作。

而目前已知受到該漏洞影響的操作系統(tǒng)僅為Winows系統(tǒng),而受影響的PHP版本則為:

l? 版本號(hào)小于8.1.29的所有8.1版PHP

l? 版本號(hào)小于8.2.20的所有8.2版PHP

l? 版本號(hào)小于8.3.8的所有8.2版PHP

圖3. CVE官方給出的受該漏洞影響的環(huán)境?

在野攻擊傳播勒索軟件

而在6月8日時(shí),360安全大腦便監(jiān)控到了該漏洞的在野攻擊。在實(shí)際觸發(fā)的在野攻擊中,系統(tǒng)中的HTTP守護(hù)進(jìn)程會(huì)將可觸發(fā)漏洞的參數(shù)傳遞給php-cgi程序,進(jìn)而導(dǎo)致php-cgi.exe調(diào)起系統(tǒng)的cmd命令行工具運(yùn)行mshta解釋器來(lái)獲取在線的遠(yuǎn)程hta腳本(實(shí)際為vbs腳本)到本地并運(yùn)行。

圖4. 360安全大腦監(jiān)控到的在野攻擊進(jìn)程關(guān)系樹(shù)?

而最終執(zhí)行的腳本,則會(huì)釋放其中經(jīng)過(guò)編碼過(guò)的惡意程序并運(yùn)。這個(gè)最終被釋放到本地并被運(yùn)行起來(lái)的惡意程序,便是我們陰魂不散的“老朋友”,TellYouThePass勒索軟件。至此,TellYouThePass借助這個(gè)新公開(kāi)的PHP漏洞展開(kāi)了又一輪的攻擊。

樣本分析

hta腳本分析

攻擊者通過(guò)漏洞成功進(jìn)行參數(shù)注入后,會(huì)調(diào)用系統(tǒng)的mshta解釋器加載在線的hta腳本到本地執(zhí)行。而經(jīng)分析,該hta腳本的內(nèi)容實(shí)際就是一個(gè)包裹在hta外殼下的vbs腳本。

圖5. 分析所用的dd3.hta腳本代碼片段?

該腳本會(huì)對(duì)其內(nèi)置的編碼字符串先進(jìn)行Base64解碼,再進(jìn)行反序列化等一系列操作,最終得到一個(gè)完整的.NET程序代碼,并調(diào)用該程序中一個(gè)名稱為“U”的類來(lái)執(zhí)行其勒索功能。

勒索軟件主體樣本分析

如前文所述,勒索軟件主體是一個(gè).NET程序,而其用于實(shí)現(xiàn)勒索功能的主體代碼則是匯總在一個(gè)名為“U”的類中。

圖6. 勒索功能類“U”?

勒索軟件執(zhí)行后,會(huì)遍歷磁盤中所有文件。其中,勒索軟件會(huì)比對(duì)掃描到的目錄名稱,并比對(duì)內(nèi)置的列表中存在的35個(gè)目錄名。發(fā)現(xiàn)在內(nèi)置列表中則會(huì)跳過(guò)這些目錄而不加密其中的文件。

圖7. 勒索軟件內(nèi)置的35個(gè)“不加密”目錄名?

而在其他目錄中,勒索軟件還會(huì)識(shí)別具體文件的擴(kuò)展名。如果文件擴(kuò)展名不在其內(nèi)置的列表中,則會(huì)直接跳過(guò)而不進(jìn)行加密。不過(guò)這個(gè)列表的覆蓋面卻是非常廣泛——共有426個(gè)待加密的擴(kuò)展名。

圖8. 勒索軟件內(nèi)置的426個(gè)“待加密”文件擴(kuò)展名?

勒索軟件對(duì)文件實(shí)施加密使用的則是較為傳統(tǒng)的AES加密算法。

圖9. 勒索軟件調(diào)用RijndaelManaged(AES算法)進(jìn)行加密

當(dāng)然,用于加密AES密鑰的,AES作為一個(gè)對(duì)稱加密算法,其密鑰自然也是需要被再次加密的。而加密AES密鑰的手法也同樣傳統(tǒng)——使用了內(nèi)置的RSA公鑰進(jìn)行加密。

圖10. 勒索軟件調(diào)用RSA公鑰對(duì)AES密鑰進(jìn)行加密?

安全提醒

目前,360反勒索服務(wù)中心尚未接到來(lái)自于360客戶端用戶關(guān)于TellYouThePass本輪攻擊的反勒索申訴。

但依然提示廣大網(wǎng)民應(yīng)確保系統(tǒng)中的安全防護(hù)軟件正常運(yùn)行,且確保其勒索防護(hù)功能處于正常開(kāi)啟狀態(tài)。

而尤其需要注意的是Windows系統(tǒng)中運(yùn)行有PHP 8.*版本客戶端的用戶,建議立即將正在使用的PHP客戶端更新至PHP官方于6月6日發(fā)布的最新版本:8.1.29、8.2.20或8.3.8。

圖11. PHP官方發(fā)布的三個(gè)最新版本客戶端的公告

360安全衛(wèi)士

熱點(diǎn)排行

用戶
反饋 返回
頂部