146期报告汇总
安天发布《Magniber 勒索软件分析报告》
近日,安天 CERT(安全研究与应急处 理中心)在梳理网络安全事件时发现一种名 为 Magniber 的勒索软件开始在亚洲地区活 跃,其利用 Magnitude 漏洞利用工具包进行 传播,使用多种混淆技术,并可根据地区判 断是否主动进行感染。
自 2017 年起,Magnitude 漏洞利用工具 包便开始向外传播 Cerber 勒索软件,但只 针对于少数几个亚洲国家。2017 年 10 月, 其开始传播开发者自己编写的勒索软件, Magniber。此次的攻击行动仅针对韩国, Magniber 会检测返回的国家代码,如果不符 合要求就会自删除。恶意代码在初始阶段使用 VBScript 利 用 CVE-2018-8174 漏 洞, 一 旦漏洞利用成功,脚本会执行一段负责下载 的 shellcode。它会下载经过混淆的载荷,使 用 xor 进行解密。载荷运行后会加密系统文 件,弹出勒索信息,给出到洋葱页面的链接。 因其使用了 AES 算法加密,故每个密钥都是 唯一的。
目 前,Magniber 的 感 染 区 域 已 经 开 始 扩展,影响区域包括马来西亚、新加坡以 及中国的香港、澳门、台湾等地区。虽然 Magniber 勒索软件初期的代码简单且没有使 用混淆,但其开发者在持续开发新版本,编 码质量也在不断提高,对此应予以重视。
安天 CERT 提醒广大网络使用者,要提 高网络安全意识,在日常工作中要及时进行 系统更新和漏洞修复,不要随意下载非正版 的应用软件、非官方游戏、注册机等。收发 邮件时要确认收发来源是否可靠,更加不要 随意点击或者复制邮件中的网址,不要轻易 下载来源不明的附件,发现网络异常要提高 警惕并及时采取应对措施,养成及时更新操 作系统和软件应用的好习惯。同时也要做好 文件的备份,以防止勒索软件加密重要文件 后无法恢复。
目前,安天追影产品已经实现了对该类 恶意代码的检出。