• 售前

  • 售后

热门帖子
入门百科

安全人员发现新式勒索病毒感染暴增,主要通过色情网站广告位传播

[复制链接]
123457753 显示全部楼层 发表于 2022-1-4 03:56:57 |阅读模式 打印 上一主题 下一主题
Magniber 是一种使用 IE 漏洞的无文件勒索病毒,它此前对浩繁韩国用户造成严峻侵害。如果相干安全部分无法在漏洞发生初期发现并加以阻断,则很难防止其进一步感染,这使得安全软件难以检测。
Magniber 勒索软件自 2021 年 3 月 15 日以来使用 CVE-2021-26411 漏洞进行分发,直到近来被发现改为 CVE-2021-40444 漏洞。
值得一提的是,这是 9 月 14 日微软推送安全补丁后的最新漏洞,如今大部分用户都有被感染的风险。(仅在 Win10/Win11 环境中发生变化,其他环境中仍在使用 CVE-2021-26411)。
现有安全人员发现,Magniber 勒索病毒近期攻击事件频发,天下多地都有网民受到影响。
360 安全人员透露,该勒索病毒使用 CVE-2021-40444 漏洞进行传播,还使用 PrintNightmare 漏洞进行提权,危害程度更甚以往。根据分析,该病毒主要通过色情网站的广告位传播。
自 11 月 5 日开始,他们便收到了大量感染 Magniber 勒索病毒的告急,同时检测到 CVE-2021-40444 漏洞攻击拦截量有较明显上涨。经分析追踪发现,这是一起挂马攻击团伙,从使用的技能、攻击手法可以看出,这也是一个技能良好的黑客构造,同时由于此次挂马网站主要面向国内,对普通网民都有巨大影响。
安全人员表示,该黑客团伙主要通过在色情网站(也存在少部分其它网站)的广告位上,投放植入带有攻击代码的广告,当用户访问到该广告页面时,就有大概中招,感染勒索病毒。
据悉,漏洞出现时,该勒索病毒会在下图路径中创建一个名为 calc.inf 的文件。Magniber 勒索软件随后由一个名为 control.exe 的普通 Windows 历程加载。
2021/09/16:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\calc.inf
2021/09/17:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\winsta.inf
下图展示了漏洞发生时 iexplore.exe->control.exe 形式的调用过程以及 calc.inf 文件的利用过程。

安全人员发现新式勒索病毒感染暴增,主要通过色情网站广告位传播
下图显示了文件名为 calc.inf 的 Magniber 的分布是在 2021 年 9 月 16 日 09:00 之后开始的,V3 检测日志大约有 300 个案例。

受影响的利用体系

Windows 8.1、RT 8.1
Windows 10:1607、1809、1909、2004、20H2、21H1
Windows Server 2008 SP 2、2008 R2 SP 1
Windows Server 2012、2012 R2
Windows Server 2016、2019、2022
Windows Server 2004、20H2 版

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作