勒索软件 ColdLock 定向袭击我国台湾地区多个组织机构
发布时间:2022-07-18 09:33:33 所属栏目:安全 来源:互联网
导读:近日一次有针对性的攻击使台湾的几个组织感染了一种新的勒索软件,我们将其命名为ColdLock。由于勒索软件是针对数据库和电子邮件服务器进行加密,因此这种攻击具有较强破坏性。 我们收集的信息表明,该攻击于5月初开始袭击多个组织机构。对恶意软件的分析表
近日一次有针对性的攻击使台湾的几个组织感染了一种新的勒索软件,我们将其命名为ColdLock。由于勒索软件是针对数据库和电子邮件服务器进行加密,因此这种攻击具有较强破坏性。 我们收集的信息表明,该攻击于5月初开始袭击多个组织机构。对恶意软件的分析表明,ColdLock与两个先前已知的勒索软件系列特别是Lockergoga,Freezing和EDA2勒索软件之间存在相似之处。还没有迹象表明这种攻击袭击了目标组织之外的任何其他组织。 1. 样本分析 我们目前还不知道此威胁是如何进入潜在受害者网络的。但是,我们认为,攻击者以某种方式获得了对目标组织的Active Directory服务器的访问权限。至此,他们能够设置组策略,该组策略导致下载勒索软件文件并在受影响的域内的计算机上运行。 payload以.NET可执行文件(.DLL文件)的形式存在,该文件已使用ConfuserEx 包装器进行了包装/保护 。 https://yck1509.github.io/ConfuserEx/ 它使用PowerShell对.NET可执行文件的反射加载来运行上述.DLL文件: 2. 加密分析 在加密任何文件之前,勒索软件还执行某些准备程序。首先,如果服务正在运行,它将终止系统上的多个服务,以防止违反文件访问权限。这些服务是: mariadb msexchangeis mssql mysql oracleservice 这些是各种数据库以及Exchange邮件服务器使用的服务名称,它还将终止 Outlook 进程。 实际的加密例程有点不寻常,它将避免加密以下目录: %System Root%Program Files %System Root%Program Files (x86) %System Root%ProgramData %System Root%Usersall users %System Root%Usersdefault {malware directory} {drive letter}:System Volume Information {drive letter}:$Recycle.bin 但是,以下目录仍将被加密: %System Root%ProgramDataMicrosoftWindowsStart Menu %System Root%Program FilesMicrosoftExchange Server %System Root%Program Files (x86)MicrosoftExchange Server (Program Files, Program Files (x86), and ProgramData) 目录包含以下任何字符串都会被加密: sql mariadb oracle (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |