金沙娱场城(8087·China)官网-BinG百科NO.1


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

Magniber勒索病毒瞄准国内用户,8087金沙娱场城支持检测拦截
发布时间 :2021年11月29日
分享:



事件描述


近期,Magniber勒索病毒事件在全国范围内频繁爆发,导致多地用户受到攻击,受害主机部分文件被加密。早期的Magniber勒索病毒针对韩国用户发动攻击,仅会加密韩语操作系统,而随着分发范围扩大,国内用户也成为该勒索攻击目标。


8087金沙娱场城已经截获此勒索病毒,并提供有效解决方案。据悉,该勒索病毒通过利用Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444)进行传播,当用户访问挂马链接或打开黑客精心制作的文档时,均有可能触发此漏洞。



攻击流程


1.jpg




8087金沙娱场城产品解决方案



针对Magniber勒索病毒,8087金沙娱场城信端Officescan/信舱DeepSecurity可以在攻击发生的多个阶段检测并拦截。



8087金沙娱场城病毒码版本17.211.60,云病毒码版本17.211.71,全球码版本17.211.00 已经可以检测Magniber勒索病毒inf样本、勒索信readme.txt文件、cab包以及利用漏洞的文档,请用户及时升级病毒码版本;

2.jpg


4.jpg

 恶意行为监控可以有效拦截通过IE调用control.exe的进程创建行为;

5.jpg


8087金沙娱场城DDAN沙盒平台已经可以检测该勒索病毒及利用漏洞文档;

8.jpg

9.jpg


针对CVE-2021-40444漏洞,8087金沙娱场城已经发布了对应的DS和OSCE VP检测规则,规则如下:

1011126 - Microsoft MSHTML Remote Code Execution Vulnerability(CVE-2021-40444)

10.jpg

11.jpg


攻击细节分析



Magniber勒索病毒通过Microsoft MSHTML 远程代码执行漏洞进行分发。当受害者访问挂马网站或打开黑客精心制作的恶意文档时,则可能触发整个攻击链。

由于此攻击链需要用户主动访问站点或打开文档,因此高危站点及钓鱼邮件将会是主要传播手段。

12.jpg


一旦打开文档并启用编辑,则可能触发漏洞,将自动下载黑客在站点中托管的cab文件,并解压.inf文件到/AppData/Local/Temp或/AppData/Local/Temp/Low目录中,随后调用cpl执行。

111.png

.inf文件为PE格式,样本中无导入表,这对样本静态分析造成一定困难。经过动态分析,发现样本含有较多花指令,通过SSDT表调用Windows API实现代码逻辑。

13.jpg

14.jpg

加密完成后,主机会访问勒索站点:


16.png

弹出readme.txt,该文件已经被8087金沙娱场城检测为Ransom.Win32.RANMSGHP.SMT2.note:


17.png

18.png



通过查看浏览器历史记录,可以发现利用上述漏洞的蛛丝马迹:


19.png

安全建议



  • 打开系统自动更新,并检测更新进行安装;

  • 不要随意点击来历不明的Office文档,将Office默认设置“受保护的视图”;

  • 不要点击来源不明的邮件以及附件;

  • 不要点击来源不明的邮件中包含的链接;

  • 请到正规网站或者应用商店下载程序;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 尽量关闭不必要的端口;

  • 尽量关闭不必要的网络共享;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

分享到微信
X