近期活躍的勒索病毒
GlobeImposter勒索病毒
2017年5月,? Globelmposter家族首次出現(xiàn);2018年3月,GlobeImposter勒索病毒變種在我國傳播。該勒索病毒依靠垃圾郵件進(jìn)行傳播,在郵件正文會(huì)告知受害者繳納贖金的方式,一般索要1到10比特幣不等,文件加密后擴(kuò)展名會(huì)該更為.crypted!、..doc和.TRUE等。
“Zenis”勒索病毒
該勒索病毒在2018年3月被安全專家截獲,與其他勒索病毒不同,可對(duì)設(shè)備中超過200種格式的文件進(jìn)行加密,對(duì)非系統(tǒng)盤符下的所有格式文件也可進(jìn)行加。,為防止系統(tǒng)還原,會(huì)刪除系統(tǒng)中的備份文件。還可通過黑客入侵的遠(yuǎn)程桌面服務(wù)進(jìn)行安裝。
趨勢(shì)判斷
常見類型
主要傳播方式
主要感染對(duì)象
如何防范
主流攻擊2:挖礦病毒
挖礦,是獲取加密貨幣的勘探方式的昵稱,因?yàn)楣ぷ髟砼c開采礦物十分相似。此外,進(jìn)行挖礦工作的加密貨幣勘探者也被稱為礦工。為了節(jié)省挖礦成本,黑客將挖礦程序制成惡意軟件,在網(wǎng)絡(luò)上感染他人的計(jì)算機(jī),替自己挖礦。
近期活躍的挖礦病毒
Weblogic挖礦病毒
攻擊利用了WEBLogic WSAT(全稱:Web Services Atomic Transactions)組件RCE漏洞,攻擊者預(yù)先收集Windows和Linux平臺(tái)的WebLogic目標(biāo)主機(jī)信息,利用CVE-2017-3506/CVE-2017-10271漏洞對(duì)目標(biāo)主機(jī)植入挖礦程序,該攻擊行為會(huì)造成主機(jī)CPU資源耗盡,主機(jī)性能變差等。
GhostMiner無文件挖礦病毒
使用無文件技術(shù)隱藏惡意程序,有效逃逸安全廠商檢測(cè),利用PowerShell框架將挖礦程序直接解壓到內(nèi)存,直接從內(nèi)存中啟動(dòng)挖礦組,結(jié)束目標(biāo)設(shè)備上運(yùn)行的任何其它惡意挖礦進(jìn)程。
趨勢(shì)判斷
挖礦病毒特征
?CPU占用率高,通常高達(dá)70%以上;
如何防范
針對(duì)無文件挖礦病毒
一、安裝DeepTrace工具,在監(jiān)控期間暫時(shí)關(guān)閉DSA的防病毒功能,還原用戶環(huán)境。
DeepTrace下載地址:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/Tools/DeepTrace2.0/
二、通過分析DeepTrace日志,我們發(fā)現(xiàn)生成并且打開病毒文件的是macorlib.ni.dll和system.ni.dll文件,繼續(xù)往上看運(yùn)行過程,這兩個(gè)文件和powershell.exe進(jìn)程有關(guān)系。
三、查看powershell.exe進(jìn)程,看到的確有惡意的命令行運(yùn)行,使用base64解密之后,該代碼是挖礦相關(guān)的程序,生成windows\temp\lsass.eXe文件,并使用系統(tǒng)進(jìn)程啟加載啟動(dòng)該文件運(yùn)行,導(dǎo)致CPU占用在75%。
四、Powershell挖礦一般會(huì)結(jié)合WMI,使用autoruns工具查看WMI相關(guān)啟動(dòng)和計(jì)劃任務(wù)項(xiàng),刪除powershell.exe進(jìn)程,即可解決問題。
(注意事項(xiàng):無文件挖礦病毒解決方案是以具體病毒樣本為例進(jìn)行說明,如果樣本發(fā)生變化,病毒文件名可能會(huì)發(fā)生改變。)
主流攻擊3:APT攻擊
APT(Advanced Persistent Threat)是指高級(jí)持續(xù)性威脅。利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式,APT攻擊的原理相對(duì)于其他攻擊形式更為高級(jí)和先進(jìn),其高級(jí)性主要體現(xiàn)在APT在發(fā)動(dòng)攻擊之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。在此收集的過程中,此攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞,利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò),并利用0day漏洞進(jìn)行攻擊。此類攻擊通常由一個(gè)高度組織化的、專業(yè)化的黑客組織發(fā)起,常用的攻擊方式有魚叉釣魚、水坑攻擊等。
近期活躍的APT組織
海蓮花APT組織
海蓮花APT組織(又名APT 32,APT-C-00,SeaLotus和Cobalt Kitty)是一個(gè)高度組織化的、專業(yè)化的境外黑客組織,該APT組織主要針對(duì)人權(quán)組織,媒體,研究機(jī)構(gòu)和海事建筑公司等進(jìn)行高級(jí)持續(xù)性攻擊。亞信安全多年來一直持續(xù)追蹤海蓮花組織,4月,我們發(fā)現(xiàn)該組織使用最新的MacOS后門程序,對(duì)裝有Perl程序的Mac系統(tǒng)進(jìn)行攻擊,亞信安全截獲了該后門程序,并將其命名為OSX_OCEANLOTUS.D。
DarkhotelAPT組織
2018年3月,APT組織 DarkHotel 竟將中國和朝鮮的電信公司的高管作為目標(biāo)。Darkhotel組織的間諜活動(dòng)最早是在2014年11月發(fā)現(xiàn)。安全專家們發(fā)現(xiàn)DarkHotel組織選擇出國旅行的企業(yè)高管為目標(biāo),持續(xù)了至少四年。根據(jù)專家分析,DarkHotel進(jìn)行這些活動(dòng)背后的目的可能是從這些住在豪華酒店的高管身上竊取敏感數(shù)據(jù),令人擔(dān)憂的是,該黑客組織的成員現(xiàn)在仍然活躍。
APT攻擊步驟
?如何防范