| 关键词: 病毒 文件 防御 安全 主机 com 黑客 加密 脚本 中心 |
黑客首先通过RDP暴力破解登陆客户机器,获取机器的控制权限。 云安全中心监控到两个位于拉脱维亚里加的IP:188.92.77.15和188.92.79.123 成功登陆主机。 登陆成功后,黑客远程拷贝Killer.bat恶意脚本到主机并执行,该脚本主要功能是关闭安全软件、系统服务等。 黑客开始第一次勒索攻击,植入文件名为SOS.exe的勒索病毒,运行之后被云安全中心主机防御成功拦截。 黑客发现对抗之后,开始使用load加载的免杀绕过方式,植入a.exe,这是一个使用7zip打包后的自解压exe程序,将其解压之后,释放了4个文件:cnbbrnrhi.com、kiwvyrcee.com、lozgzxher.com、qnsdpztxh.com。 其中kiwvyrcee.com是一个批处理文件: Set byoraiood=Q ping -n 1 wnmosszxn <nul set /p ="MZ" > rundll32.com type cnbbrnrhi.com >> rundll32.com del cnbbrnrhi.com certutil -decode lozgzxher.com Q start /w rundll32.com Q ping 127.0.0.1 -n 6 cnbbrnrhi.com添加"MZ"之后生成了rundll32.com,它其实是AutoIt.exe,是一个自动化的Windows界面交互的脚本语言解释器,由于本身属于合法程序,黑客可以把恶意代码藏在脚本文件中,从而灵活地执行恶意操作。 lozgzxher.com是一个开源的AutoIt解密脚本,将混淆加密后的勒索病毒qnsdpztxh.com加载到内存中解密执行。其代码执行流如下: $in = FileOpen("qnsdpztxh.com", BitRotate(2147483648, -$GNWWRZY, "D")) qnsdpztxh.com解密后,发现其md5和SOS.exe勒索病毒一致,因此判断黑客尝试通过AutoIt脚本来投递二进制勒索病毒母体,还是未能绕过云安全中心主机防御。 黑客完整攻击流程如下图: 勒索病毒准备关闭数据库等服务,被主机防御成功拦截: 勒索病毒准备加密磁盘文件,被主机防御成功拦截: 2 应对措施 勒索病毒对企业来说是危害极大的安全风险之一,一旦核心数据或文件被加密,除了缴纳赎金,基本上无法解密。阿里云云安全中心(主机防御)已经实现逐层递进的纵深式防御:
|
| 本文出处: https://www.toutiao.com/a6900162225080664580/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|