奇安信率先實現(xiàn)WannaRen攔截,奇安信用戶無一中招

  • 人閱讀
  • 2020-04-08 20:57:54

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

針對互聯(lián)網(wǎng)上出現(xiàn)了一種名為“WannaRen”的勒索病毒,奇安信病毒響應(yīng)中心紅雨滴團隊發(fā)布了詳細的技術(shù)分析報告,更多細節(jié)被披露。報告顯示,部署了奇安信情報產(chǎn)品的用戶并沒有遭受此安全威脅,旗下的天擎殺毒軟件也率先實現(xiàn)了對該病毒的查殺。

報告分析認為,WannaRen在被大量關(guān)注后,攻擊者迅速刪掉了下載勒索模塊中的鏈接,從而試圖逃避檢測。安全研究人員也同時指出,記錄程序運行時間的fm文件,使用了簡體中文進行記錄,這足以證明該病毒的作者極有可能是中國人。

“根據(jù)線索,該病毒的蹤跡我們發(fā)現(xiàn)于4月2號天擎用戶的攔截日志”,紅雨滴團隊分析發(fā)現(xiàn),“WannaRen”會偷偷下載WINWORD.EXE和wwlib.dll兩個文件,前者為微軟office的正常程序,后者為病毒文件。這種典型的白加黑攻擊手段極易躲過大多數(shù)殺毒軟件的查殺。此外,該勒索病毒還同時兼?zhèn)渫诘V功能,這將導(dǎo)致正常文件被加密無法訪問的同時,電腦還將耗費大量資源為攻擊者“挖礦”牟利。

像真正的生物病毒一樣,該病毒還將本身作為傳染源,以傳染同一內(nèi)部網(wǎng)絡(luò)的電腦。“該腳本還有一種很少見的橫向移動輔助手法,該手法利用了Everything擁有的http服務(wù)器功能。首先,其會在受害器上下載aaaa.exe,并保存到C:\Users\Public\目錄下,功能為釋放everything并開啟http服務(wù)器功能,這樣在同一內(nèi)網(wǎng)的其他受害者就可以通過該http服務(wù)器下載上面的惡意程序,從而進一步的擴散受害面。”安全專家介紹。

奇安信率先實現(xiàn)WannaRen攔截,奇安信用戶無一中招

奇安信率先實現(xiàn)WannaRen攔截,奇安信用戶無一中招

圖:奇安信天擎攔截記錄

分析發(fā)現(xiàn),早在今年1月,通過攻擊者的域名,奇安信病毒響應(yīng)中心就已經(jīng)將該域名與HideShadowMiner組織的攻擊關(guān)聯(lián)在一起,并將該域名置黑,因此部署相關(guān)情報產(chǎn)品的用戶均無遭受此威脅。HideShadowMiner,國內(nèi)統(tǒng)稱為匿影組織,該組織此前一直進行挖礦攻擊。同時發(fā)現(xiàn),通過特征,分析人員發(fā)現(xiàn)匿影組織還使用了多個域名搭載同一套Powershell攻擊框架發(fā)起攻擊。

奇安信率先實現(xiàn)WannaRen攔截,奇安信用戶無一中招

圖:相關(guān)攻擊域名在全網(wǎng)的訪問趨勢圖,時間集中在近期,符合事件發(fā)生時段

“4月2日,奇安信天擎就已經(jīng)檢測并攔截了相關(guān)攻擊行為,并且即便惡意軟件已經(jīng)執(zhí)行,但是對應(yīng)的勒索病毒模塊同樣被天擎查殺,因此目前奇安信用戶無一中招。”奇安信安全專家表示。奇安信紅雨滴團隊同時提供了病毒攻擊的IoC,已便于用戶自查是否已經(jīng)收到“WannaRen”的安全威脅:

wmi.sslsngyl90.com

cpu.sslsngyl90.com/xx.txt

cpu.sslsngyl90.com/wmi.txt

us.howappyoude.club/v.txt

cpu.goolecpuclan.xyz/vip.txt

xx.sslsngyl90.com

xx.sslsngyl90.com

wmi.sslsngyl90.com

wmi.sslsngyl90.com

d.sslsngyl90.com

d.sslsngyl90.com

cs.sslsngyl90.com

cs.sslsngyl90.com

cpu.sslsngyl90.com

cpu.sslsngyl90.com

相關(guān)惡意程序下發(fā)路徑

C:\ProgramData\227.exe

C:\ProgramData\office.exe

C:\ProgramData\nb.exe

C:\ProgramData\WinRing0x64.sys

C:\ProgramData\officekms.exe

C:\ProgramData\xeexfrt.txt

C:\Users\Public\MicrosftEdgeCP.exe

C:\Users\Public\1\winlogtrf.exe

C:\ProgramData\227.txt

C:\Users\Public\ aaaa.exe

WannaRen勒索軟件主體Hash

9854723bf668c0303a966f2c282f72ea

此外,奇安信分析人員特別提醒,攻擊者會通過微當(dāng)下載去下載APK程序,并重命名為exe文件,但這也意味著,微當(dāng)下載并沒有識別出該APK是惡意的PE程序并進行了放行,用戶應(yīng)注意從此通道下載的相關(guān)程序。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )