威尼斯432888cam(中国集团)有限公司-企业百科


股票代码:688225
Menu

产品全景图 >

云安全
终端安全
数据安全
身份安全
高级威胁治理
网络与通信安全
安全管理
SaaS服务
一体化智能安全运营平台
网络管理
信息技术应用创新
工业安全

安全服务 >

安全运营 >

云安全
信池云安全资源池【ForCloud SDSEC】
信舱多云安全管理平台【ForCloud CSPM】
信舱RASP应用自保护安全【ForCloud RASP】
信舱自适应微隔离【ForCloud MSG】
信舱云原生容器安全 【ForCloud CNAPP】
信舱云主机无代理安全防护【ForCloud AGENTLESS】
信舱云主机有代理安全防护【ForCloud CWPP】
终端安全
新一代终端安全TrustOne
数据安全
信数数据安全运营平台【AISDSOP】
信数数据分类分级系统【AISDC】
信数数据库审计系统【AISDBA】
信数数据脱敏系统【AISDM】
信数数据库防火墙【AISDBFW】
信数数据库访问控制【AISDBAC】
信数多方计算平台【AISMPC】
信数应用安全审计系统【AISAPI】
信数数据防泄漏系统【AISNDLP】
信数数据水印溯源系统【AISDWM】
信数数据库加密系统【AISDBE】
身份安全
信磐统一身份认证与访问管理系统【AISIAM】
信磐堡垒机【AISIFORT】
高级威胁治理
信桅高级威胁监测系统【TDA】
信桅高级威胁分析系统【DDAN】
信桅高级威胁邮件防护系统【DDEI】
信池统一安全管理平台【LinkOne】
信桅蜜罐系统【AISBIG】
网络与通信安全
信舷防毒墙系统【AISEDGE】
信舷防火墙系统【AISFW】
信舷WEB应用防火墙系统【AISWAF】
信舷网络威胁入侵防护系统【AISTPS】
信舷上网行为审计系统【AISACG】
信磐互联网接入认证系统【AISOBS】
集中IPoE接入认证系统【AISDHCP】
DNS全业务域名解析系统【AISDNS】
域名服务和地址分配及管理系统【AIDDI】
信舷安全隔离与信息交换系统【AISIES】
信舷网页防篡改系统【AISWD】
信舷抗拒绝服务系统【AISADS】
5G全流量安全检测与响应系统【AIS5GNDR】
大模型安全网关【AISLFW】
信桨网络流量审计分析系统【SpiderFlow】
安全管理
日志审计分析系统【AIRDS】
漏洞扫描系统【SpiderScan】
安全数据中心【AISSDC】
SaaS服务
天穹共享免疫SaaS系统【ImmunityOne】
一体化智能安全运营平台
信舵安全管理与分析平台【MAXS】
网络管理
故障管理系统【AISFMS】
算网融合管理系统【AISCNCMP】
综合终端管理系统 【AISITMS】
智能网管系统【AISIPOSS】
信息技术应用创新
信创DHCP系统
信创DNS全业务域名解析系统
信创AAA系统
信创零信任访问控制系统
信创统一帐号认证授权平台
信创防毒墙系统
信创高级威胁监测系统
信创WEB应用防火墙系统
信创防火墙系统
工业安全
信桨工控防火墙【ICFireWall】
信桨工业流量审计分析系统【ICFlow】
信桨工业主机安全加固【ICHost】
信桨工业安全管理平台【ICSMP】
信桨工业安全隔离与信息交换系统 【ICGAP】
信桨工业运维安全管理与审计系统【ICOPS】
信桨工控等保检查工具箱【ICSI】
安全运营
MSS托管安全运营服务
热点推荐
<
|
>
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

警惕!REvil勒索软件突袭MSP提供商,赎金价值高达7000万美元
发布时间 :2021年07月22日
分享:

事件描述


近日,威尼斯432888cam网络安全实验室关注到REvil勒索软件团伙在暗网数据泄漏站点上发布了一条消息,声称他们已于2021年7月2日入侵了MSP提供商,并表明已有100万个系统受到勒索软件的影响,该团伙要求支付7000万美元的BTC,才能提供解密器。此事件引起安全厂商关注,REvil勒索再次成为焦点,威尼斯432888cam已截获到相关样本,并将其命名为:Trojan.Win32.SODINSTALL.YABGC。


攻击流程


image.png


病毒详细分析

 

释放恶意载荷

该样本是一个Dropper,其包含MODLIS和SOFTIS两个资源节。程序运行后,会搜索这两个资源节,然后这两个资源分别释放如下文件:

  • C:\Windows\mpsvc.dll

  • C:\Users\USER\AppData\Local\Temp\mpsvc.dll(黑文件)

  • C:\Windows\MsMpEng.exe

  • C:\Users\USER\AppData\Local\Temp\MsMpEng.exe(白文件)


然后运行C:\Windows\MsMpEng.exe。


加载dll并调用其中的恶意函数

MsMpEng.exe加载mpsvc.dll并调用mpsvc.dll中的恶意函数ServiceCrtMain。


动态解密勒索代码并跳转执行

经过一系列内存解密操作后最终开始执行逻辑。


解密配置

 

创建互斥体

Global\422BE415-4098-BB75-3BD9-3E62EE8E8423

 清空回收站

调用函数shell32.SHEmptyRecycleBinW清空回收站。

 提权

使用函数ntdll.RtlAdjusiPrivilege获得调试权限。

文件加密

1.使用IO完成端口

勒索程序根据系统CPU创建对应数量的加密线程,然后绑定IO完成端口的形式加密文件,提高了加密文件的速度。

2.加密算法

勒索程序使用了一套复杂的加密系统(Curve25519椭圆曲线算法(DECH),AES算法和Salsa20),使得文件很难被解密。经过分析,威尼斯432888cam找到了Salsa20加密所使用的常量(expand 32-byte kexpand 16-byte k)。


AES算法轮操作函数

常量:121665,威尼斯432888cam通过google搜索该常量发现,Curve25519椭圆曲线算法使用该常量。

在Github上找到的Curve25519椭圆曲线算法实现代码里同样找到该常量。


加密流程

首先DECH算法生成两组密钥对,Session,File:

Sesson_Pulic 、Session_Privite ;

File_Public、File_Privite。

使用File_Privite和Session_Public通过DECH算法生成共享密钥File_Encryption,然后将共享密钥File_Encryption作为Salsa20的密钥用于文件加密。 

再次通过DECH算法生成一个密钥对,R_public和R_privite。使用攻击者的公钥Attacher_Public和R_Privite生成共享密钥S。

使用共享密钥S作为AES的密钥对Session_Privite进行加密生成Encrypted_Key,将Encrypted_Key,R_public,File_Public写到文件尾部。


文件加密完成后丢弃File_Encryption、Session_Public、 File_Privite、 R_Privite、Session_Privite和 S。
其中Attacher_Public为:

base64编码形式为:

9/AgyLvWEviWbvuayR2k0Q140e9LZJ5hwrmto/zCyFM=

 

不能对加密文件进行解密

由于Attacher_Privite未知,无法导出共享密钥S;没有共享密钥S,就无法导出Session_Privite;没有Session_Privite,就无法得到用于文件加密的File_Encryption。


加密共享


更改桌面背景

文件加密完成后,使用GDI32库函数绘制勒索桌面背景。


重启删除白文件


威尼斯432888cam产品解决方案

 

威尼斯432888cam病毒码版本16.851.60,云病毒码版本16.851.71,全球码版本16.851.00 已经可以检测,请用户及时升级病毒码版本;

威尼斯432888camDDAn沙盒平台已经可以检测;


image.png


威尼斯432888cam产品行为监控功能可以拦截该勒索病毒,建议用户开启行为监控功能,有效拦截已知和未知勒索病毒;


image.png


安全建议


  • 打开系统自动更新,并检测更新进行安装;

  • 不要点击来源不明的邮件以及附件;

  • 不要点击来源不明的邮件中包含的链接;

  • 请到正规网站或者应用商店下载程序;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 尽量关闭不必要的端口;

  • 尽量关闭不必要的网络共享;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。


IOC:

SHA-256 :D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E

上一篇:【媒体声音】云主机安全生态中的难题:安全能力原子化

下一篇:高危!Windows提权漏洞,攻击者可获取系统SYSTEM权限

返回列表
分享到微信
X