皇冠管理端www.9cx.net)实时更新发布最新最快最有效的皇冠管理端网址,包括皇冠管理端手机网址,皇冠管理端备用网址,皇冠管理端最新网址,皇冠管理端足球网址,皇冠管理端网址大全。

1. 概述

克日,安天CERT监测到消逝约两个月的Sodinokibi(又名Revil)勒索组织重新活跃的迹象。2019年6月,安天在《勒索软件Sodinokibi运营组织的关联剖析》[1]讲述中提到,该勒索组织是一个不停套用、行使其他现有恶意工具作为攻击载体,流传勒索软件、挖矿木马以及窃密程序的具有一定规模的黑产组织,并在全球局限内实行普遍性、非针对性勒索、挖矿、窃密攻击。

自2019年以来,Sodinokibi勒索组织接纳“威胁曝光企业数据+加密数据勒索”的双重勒索模式,在全球局限内提议攻击,现在已经成为了最盛行的勒索病毒之一。今年7月,该勒索组织发动了迄今为止规模最大的一次攻击:行使Kaseya VSA 远程治理平台中的零日破绽,加密了 约莫60 家托管服务提供商和 1,500 多家企业。本次事宜引起了国际执法部门的关注,该勒索组织可能出于被逮捕的担忧,于 2021 年 7 月 13 日关闭了支付网站、数据泄露网站等基础设施。9月7日,Sodinokibi勒索软件的Tor支付站点以及数据泄露网站重新启用。9月9日,该勒索软件家族的新型变种被发现,证实晰新一轮攻击的到来。

9月16日,平安厂商Bitdefender宣布了免费的Sodinokibi勒索软件通用解密器[2],并声称解密器使用的密钥来自于某执法部门。Sodinokibi勒索软件的受害者可以通过下载主解密器,一次性解密所有或指定文件夹下的数据。经由测试,该解密器可用于解密2021年7月13日之前版本的Sodinokibi勒索软件加密的数据,但对本次新发现的勒索软件新型变种无效。

2. 事宜对应的ATT&CK映射图谱

该事宜对应的手艺特点映射图谱如下:

图2-1 该事宜对应的ATT&CK手艺特点映射图谱

详细的手艺行为形貌如下表所示:

表2-1 该事宜对应的ATT&CK手艺行为形貌表

3. 流动剖析

安天CERT通过关联剖析,连系已知情报,梳理了Sodinokibi勒索组织近期流动时间轴如下:

图3-1 Sodinokibi勒索组织近期流动时间轴

2021年7月2日,Sodinokibi勒索组织针对美国IT治理软件制造商Kaseya提议大规模的供应链攻击,致使多个托管服务提供商及其一千多位客户受到影响。被攻击的Kaseya VSA是一个基于云的MSP平台,为客户提供补丁治理和客户端监控服务。由于该平台具有客户端的治理员权限,导致勒索软件可以在客户系统中快速流传。

Sodinokibi勒索组织在此次攻击中行使了Kaseya VSA中的0-Day破绽CVE-2021-30116。荷兰破绽披露研究所(DIVD)的一名研究员发现了该破绽并与Kaseya举行相同。但在Kaseya向客户宣布破绽补丁前,Sodinokibi勒索组织争先一步行使此破绽举行攻击,并索要高达7000万美元的赎金。

7月10日美国总统拜登就俄罗斯境内流动的勒索组织问题与俄罗斯总统普京举行了通话。7月13日,Sodinokibi勒索组织关闭了Tor服务器和相关设施。7月22日,Kaseya从某受信的第三方中获得领会密密钥,但并未提供有关密钥泉源的信息。由此推测,勒索组织迫于压力将解密密钥交给了俄罗斯情报部门,并转达至美国。

8月3日,某黑客论坛宣布了声称是通用Sodinokibi勒索软件解密器的屏幕截图,通过测试截图中的解密密钥,确定该密钥只能解密Kaseya攻击事宜中的勒索软件。

9月7日,Sodinokibi勒索组织重新启用Tor服务器和基础设施,并于越日在俄语黑客论坛上由新代表针对近期与Sodinokibi勒索组织相关信息揭晓声明。9月9日,发现了勒索软件新型变种,证实晰新一轮攻击的到来。

图3-2 Sodinokibi勒索组织数据泄露网站宣布了新的受害者及被盗数据

9月16日,平安厂商Bitdefender宣布了免费的Sodinokibi勒索软件通用解密器,并声称解密器使用的密钥来自于某执法部门。Sodinokibi勒索软件的受害者可以通过下载主解密器,一次性解密所有或指定文件夹下的数据。经由测试,该解密器可用于解密2021年7月13日之前版本的Sodinokbi勒索软件加密的数据,但对本次新发现的勒索软件新型变种无效。

图3-3 解密器恢复7月13日之前勒索软件加密的数据乐成

图3-4 解密器恢复9月之后勒索软件加密的数据失败

4. 防护建议

针对该勒索软件安天建议小我私人及企业接纳如下防护措施:

4.1 小我私人防护

        (1) 安装终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启);

        (2) 增强口令强度:阻止使用弱口令,建议使用16位或更长的密码,包罗巨细写字母、数字和符号在内的组合,同时阻止多个服务器使用相同口令;

        (3) 实时更新补丁:建议开启自动更新功效安装系统补丁,服务器应实时更新系统补丁;

        (4) 关闭高危端口:关闭3389、445、139、135等不用的高危端口;

        (5) 关闭PowerShell:如不使用PowerShell下令行工具,建议将其关闭;

        (6) 定期数据备份:定期对主要文件举行数据备份,备份数据应与主机隔离;

4.2 企业防护

        (1) 开启日志:开启要害日志网络功效(安整日志、系统日志、PowerShell日志、IIS日志、错误日志、接见日志、传输日志和Cookie日志),为平安事宜的追踪溯源提供基础;

        (2) 设置IP白名单规则:设置高级平安Windows防火墙,设置远程桌面毗邻的入站规则,将使用的IP地址或IP地址局限加入规则中,阻止规则外IP举行暴力破解;

        (3) 主机加固:对系统举行渗透测试及平安加固;

        (4) 部署入侵检测系统(IDS):部署流量监控类软件或装备,便于对勒索软件的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测剖析工具,能精准检测出已知海量恶意代码和网络攻击流动,有用发现网络可疑行为、资产和各种未知威胁;

        (5) 灾备预案:确立平安灾备预案,确保备份营业系统可以快速启用;

        (6) 安天服务:若遭受勒索软件攻击,建议实时断网,并珍爱现场守候平安工程师对盘算机举行排查。安天7*24小时服务热线:400-840-9234。

5. 样天职析

5.1 样本标签

表5-1 样本标签

5.2 勒索软件概览

表5-2 Sodinokibi勒索软件概览

5.3 样天职析

2022年世界杯中国队预选赛赛程www.9cx.net)实时更新比分2022年世界杯中国队预选赛赛程数据,2022年世界杯中国队预选赛赛程全程高清免费不卡顿,100%原生直播,2022年世界杯中国队预选赛赛程这里都有。给你一个完美的观赛体验。

该样本使用RC4算法加密存储静态字符串,并在执行时解密,解密函数共有5个参数,划分为:加密数据起始地址、待解密数据偏移量、密钥长度、加密数据长度、解密数据存放地址。

图5-1 静态数据RC4解密函数

剖析设置信息及运行参数,初始化全局变量。

图5-2 初始化流程及设置文件

设置信息各项寄义如下:

表5-3 设置信息及寄义

样本运行时参数列表如下:

表5-4 样本运行参数及其寄义

若存在- *** ode参数,则通过如下操作重启至平安模式执行。

将当前用户密码修改为U1k$NEIq3c6Q,并将系统设置为跳过密码自动登录。

图5-3 修改密码并设置自动登录

凭证系统版本使用bootcfg或bcdedit指令修改系统指导项为带网络毗邻的平安模式,并添加启动项用于执行自身及恢复被修改的指导项,最后重启系统,以此到达规避平安软件检查及阻止待加密文件被占用的目的。

图5-4 添加启动项并设置平安启动

确立互斥量Global\CBB7EB5A-3385-E033-2897-56B47AB91FC5,阻止重复执行。

图5-5 确立互斥量

若设置信息中的exp值为true且当前非治理员权限,则挪用ShellExecuteExW函数执行自身,并将lpVerb的值设为runas,以举行提权操作。

图5-6 使用ShellExecuteExW举行提权

凭证设置信息中的svc的值,终止并删除系统中指定服务。

图5-7 关闭并删除服务

凭证设置中的prc值,关闭如下历程。

表5-5 关闭历程列表

删除系统卷影副本,阻止举行卷影恢复。

图5-8 删除系统卷影副本

遍历内陆和网络驱动器,在非白名单文件夹内确立勒索信{EXT}-readme.txt,对非白名单文件举行加密。

图5-9 加密文件及确立勒索信

Sodibokibi勒索软件使用“Salsa20+ECDH”加密算法,在未获得攻击者密钥的情形下,无法对被加密的文件举行解密。

图5-10 Salsa20加密算法

天生勒索信及勒索提醒图片,并将该图片设置为桌面壁纸。

图5-11 桌面壁纸及勒索信

6. IoCs

参考资料       

        [1] 勒索软件Sodinokibi运营组织的关联剖析

        https://www.antiy.cn/research/notice&report/research_report/20190628.html

        [2] Bitdefender宣布Sodinokibi勒索软件通用解密器的下载地址

        http://download.bitdefender.com/am/malware_removal/BDREvilDecryptor.exe


皇冠管理端www.9cx.net)实时更新发布最新最快最有效的皇冠管理端网址,包括皇冠管理端手机网址,皇冠管理端备用网址,皇冠管理端最新网址,皇冠管理端足球网址,皇冠管理端网址大全。

Allbet Gaming声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:Sodinokibi/REvil勒索组织近期流动梳理与最新样天职析
发布评论

分享到:

北京警方:一女子涉嫌造谣美院确诊教授出轨 已被控制
2 条回复
  1. 环球ug开户(www.ugbet.us)
    环球ug开户(www.ugbet.us)
    (2021-10-02 00:09:47) 1#

    很喜欢这个站,啥都有

    1. UG官网下载(www.ugbet.us)
      UG官网下载(www.ugbet.us)
      (2021-10-15 20:33:04)     

      币安认证账号www.accbuy.vip)银行四件套还是觉得可以进步

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。