股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告
安全通告
Magniber勒索病毒瞄准国内用户,威尼斯432888cam支持检测拦截
发布时间 :2021年11月29日
分享:
事件描述
近期,Magniber勒索病毒事件在全国范围内频繁爆发,导致多地用户受到攻击,受害主机部分文件被加密。早期的Magniber勒索病毒针对韩国用户发动攻击,仅会加密韩语操作系统,而随着分发范围扩大,国内用户也成为该勒索攻击目标。
威尼斯432888cam已经截获此勒索病毒,并提供有效解决方案。据悉,该勒索病毒通过利用Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444)进行传播,当用户访问挂马链接或打开黑客精心制作的文档时,均有可能触发此漏洞。
攻击流程
威尼斯432888cam产品解决方案
针对Magniber勒索病毒,威尼斯432888cam信端Officescan/信舱DeepSecurity可以在攻击发生的多个阶段检测并拦截。
威尼斯432888cam病毒码版本17.211.60,云病毒码版本17.211.71,全球码版本17.211.00 已经可以检测Magniber勒索病毒inf样本、勒索信readme.txt文件、cab包以及利用漏洞的文档,请用户及时升级病毒码版本;
恶意行为监控可以有效拦截通过IE调用control.exe的进程创建行为;
威尼斯432888camDDAN沙盒平台已经可以检测该勒索病毒及利用漏洞文档;
针对CVE-2021-40444漏洞,威尼斯432888cam已经发布了对应的DS和OSCE VP检测规则,规则如下:
1011126 - Microsoft MSHTML Remote Code Execution Vulnerability(CVE-2021-40444)
攻击细节分析
Magniber勒索病毒通过Microsoft MSHTML 远程代码执行漏洞进行分发。当受害者访问挂马网站或打开黑客精心制作的恶意文档时,则可能触发整个攻击链。
由于此攻击链需要用户主动访问站点或打开文档,因此高危站点及钓鱼邮件将会是主要传播手段。
一旦打开文档并启用编辑,则可能触发漏洞,将自动下载黑客在站点中托管的cab文件,并解压.inf文件到/AppData/Local/Temp或/AppData/Local/Temp/Low目录中,随后调用cpl执行。
.inf文件为PE格式,样本中无导入表,这对样本静态分析造成一定困难。经过动态分析,发现样本含有较多花指令,通过SSDT表调用Windows API实现代码逻辑。
加密完成后,主机会访问勒索站点:
弹出readme.txt,该文件已经被威尼斯432888cam检测为Ransom.Win32.RANMSGHP.SMT2.note:
通过查看浏览器历史记录,可以发现利用上述漏洞的蛛丝马迹:
安全建议
打开系统自动更新,并检测更新进行安装;
不要随意点击来历不明的Office文档,将Office默认设置“受保护的视图”;
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中包含的链接;
请到正规网站或者应用商店下载程序;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
尽量关闭不必要的端口;
尽量关闭不必要的网络共享;
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
分享到微信
X