• <code id="vhrz3"><strong id="vhrz3"></strong></code>
    <label id="vhrz3"><sup id="vhrz3"><li id="vhrz3"></li></sup></label>
    1. 正在阅读£º技术解析£º火力全开猎捕¡°坏兔子¡± 全歼详解技术解析£º火力全开猎捕¡°坏兔子¡± 全歼详解

      2017-10-26 12:37 出处£º其他 作者£º佚名 责任编辑£ºsunziyi

      ¡¡¡¡¡¾PConline 资讯¡¿10月24日£¬欧洲遭遇新一轮勒索病毒攻击£¬俄罗斯¡¢乌克兰¡¢土耳其¡¢德国等国均受到影响£¬目前已经开始向美国扩散¡£该勒索病毒被命名为“Bad Rabbit”£¨中文译名£º坏兔子£©£¬亚信安全将其检测为Ransom_BADRABBIT.SM和Ransom_BADRABBIT.SMA¡£

      ¡¡¡¡该勒索软件将受害电脑的文件?#29992;Ü£?#35753;电脑无法使用£¬从而要求支付赎金¡£“坏兔子”勒索软件要求支付0.05比特币£¨合275美元£©¡£经过研究人员深入分析£¬虽然 “坏兔子” 拥有部分与Petya勒索病毒相同的代码£¬但是最新的这波攻击不大可能造成Petya那种程度的全球性破坏¡£由于“坏兔子” 勒索病毒通过共享和弱密码在内网扩散£¬因此对企业危害较大¡£

      亚信安全技术详解£º“坏兔子”勒索病毒攻击

      ¡¡¡¡“坏兔子”勒索病毒通过水坑攻击传播£¬攻击者先在特定网站上注入包含URL的脚本文件£¬诱骗用户下载虚假的Flash安装程序“install_flash_player.exe”¡£嵌入的URL最终解析为£ºhxxp://1dnscontrol.com/flash_install£¬目前为止该链接已经不可访问¡£

      注入脚本代码

      注入脚本代码¡¡¡¡ 

      ¡¡¡¡?#22351;?#34394;假的安装包?#22351;?#20987;£¬其会生成?#29992;?#25991;件infpub.dat和解密文件dispci.exe¡£“坏兔子”通过三步骤来完成其勒索流程£¬其对应的三个文件名均来?#20174;?#32654;剧?#24230;?#21033;的游戏¡·¡£

      ¡¡¡¡•rhaegal.job --- 负责执行解密文件¡£

      ¡¡¡¡•drogon.job --- 负责关闭受害者电脑¡£然后勒索软件?#29992;?#31995;统中的文件£¬显示如下勒索信息¡£

      勒索信息
      勒索信息

      ¡¡¡¡•viserion_23.job --- 负责重启受害者电脑£¬重启后屏幕被锁定£¬显示如下信息£º

      重启后屏幕显示的信息
      重启后屏幕显示的信息

      ¡¡¡¡“坏兔子”可以在内网中扩散传播£¬其使用Windows ManagementInstrumentation£¨WMI£©和服务控制远程协议£¬在网络中生成并执行自身拷贝文件¡£在使用服务控制远程协议时£¬“Bad Rabbit”采用字典攻击方法获取登陆凭证¡£¡¡¡¡ 

      ¡¡¡¡经过深入分析£¬我们还发现“坏兔子”使用开源工具Mimikatz获取凭证£¬其?#19981;?#20351;用合法磁盘?#29992;?#24037;具DiskCryptor?#29992;?#21463;害者系统¡£¡¡ 

      亚信安全教你如何防御

      ¡¡¡¡1¡¢暂时关闭内网中打开共享的机器£»

      ¡¡¡¡2¡¢关闭WMI服务£»

      ¡¡¡¡3¡¢更换复?#29992;?#30721;£»

      ¡¡¡¡4¡¢亚信安全最新病毒码版13.740.60已经包含此病毒检测£¨扫描引擎版本9.850及以上£©£¬该版本病毒码已经发布£¬请用户及时升级病毒码版本£»

      ¡¡¡¡5¡¢亚信安全客户开启OfficeScan 11的行为监控功能£¨AEGIS£©£¬可有效阻拦勒索病毒对用户文件的?#29992;Ü£?/p>

      ¡¡¡¡6¡¢亚信安全DDAN沙盒产品已经包含此病毒的检测£¬检测名£ºVAN_FILE_INFECTOR.UMXX¡£

      ¡¡¡¡早期的分析说明£¬该病毒利用了与Petya勒索病毒相似的组件进行传播£¬由于黑客在Petya勒索病毒及其变种中£¬使用了与WannaCry相同的攻击方式£¬都是利用MS17-010£¨”永恒之蓝”£©漏洞传播£»有些更是通过带有DOC文档的垃圾?#22987;?#38468;件进行传播£¬通过Office CVE-2017-0199漏洞来触发攻击¡£因此£¬亚信安全建议用户采取如下防护措施£º

      ¡¡¡¡•及时更新系统补丁程序£¬或者部署虚拟补丁£»

      ¡¡¡¡•启用防火墙以及入侵检测和预防系?#24120;?/p>

      ¡¡¡¡•主动监控和验证进出网络的流量£»

      ¡¡¡¡•主动预防勒索软件可能的入侵途径£¬如?#22987;þ£?#32593;站£»

      ¡¡¡¡•使用数据分类和网络分段来减少数据暴露和损坏£»

      ¡¡¡¡•禁用SMB端口£»

      ¡¡¡¡•打全补丁程序£¬特别是ms17-010补丁程序¡£

      针对Petya勒索病毒解决方案

      ¡¡¡¡亚信安全病毒码版本£¨13.500.60£©£¬云病毒码版本£¨13.500.71£©已经包含此病毒检测£¬2017年6月28日已经发布£¬请用户及时升级病毒码版本¡£

      针对”永恒之蓝”漏洞解决方案

      ¡¡¡¡亚信安全DeepSecurity和TDA 已经于5月2?#27431;?#24067;规则能?#22351;?#24481;该勒索病毒在内网的传播£º

      ¡¡¡¡•TDA£º2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)

      ¡¡¡¡•Deep Security£º1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

      ¡¡¡¡•亚信安全DeepEdge在4月26日已发布了针对微软远程代码执?#26032;?#27934; CVE-2017-0144的4条IPS规则

      ¡¡¡¡£¨规则名称?#20309;?#36719;MS17 010 SMB远程代码执行1-4£¬规则号:1133635,1133636,1133637,1133638£©

      针对Office CVE-2017-0199漏洞解决方案

      ¡¡¡¡亚信安全DeepSecurity 和TDA 已经于4月13日发布规则£¬拦截该漏洞£º

      ¡¡¡¡•1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)

      ¡¡¡¡•1008295 - RestrictMicrosoft Word RTF File With Embedded OLE2link Objec

      ¡¡¡¡•1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)

      ¡¡¡¡•TDA  Rule 18 : DNS response of a queried malwareCommand and Control domain

       
      来不及?#21592;?#20102; 教你3分钟做出高颜值红包封 医院内网染病毒履杀不止 真相竟然是这样的 出门找个车位真是难 未来用AI实时预判空车位£¿ IPv6终于迎来发展元年 却挡了SDN的前路£¿ 3D打印的磁性网格机器人长这样£¿可抓取小物体

      为您推荐

      加载更多
      加载更多
      加载更多
      加载更多
      加载更多
      加载更多
      加载更多
      加载更多
      加载更多

      网络设备论?#31243;?#23376;排行

      最高点击 最高回复 最新
      最新资讯离线随时看 聊天吐槽赢奖品
      ½ñÍíÂòÒ»ÉúФÖÐÌØ

    2. <code id="vhrz3"><strong id="vhrz3"></strong></code>
      <label id="vhrz3"><sup id="vhrz3"><li id="vhrz3"></li></sup></label>
      1. <code id="vhrz3"><strong id="vhrz3"></strong></code>
        <label id="vhrz3"><sup id="vhrz3"><li id="vhrz3"></li></sup></label>