警惕SQL弱口令爆破!Mallox新变种进化袭来

admin 2022年5月25日02:15:50评论609 views字数 1325阅读4分25秒阅读模式

恶意文件名称Mallox

威胁类型勒索病毒

简单描述

Mallox 是一款勒索病毒,最早出现于2021年6月中旬,能够加密受害者主机上的关键文件,敲诈勒索谋取利益。


恶意文件分析


1 恶意文件描述

近期,深信服终端安全团队在运营工作中发现,一款名为 Mallox 勒索病毒家族的新变种 bozon3 正在国内范围传播。勒索病毒程序运行后,会执行删除卷影备份、禁用系统故障恢复等操作,随后加密受害主机上的重要文件,最后释放勒索信。


2 恶意文件分析

  1. 经过溯源分析,发现该恶意文件是通过暴露在公网的 SQL 服务进行弱口令爆破,攻击成功后,利用 SQL 自身机制上传 Anydesk 远控程序。


警惕SQL弱口令爆破!Mallox新变种进化袭来


2. 成功安装 AnyDesk 后,攻击者上传黑客工具,卸载掉主机上的安全工具和杀毒软件,最后上传 Mallox 勒索病毒文件本体并执行。


警惕SQL弱口令爆破!Mallox新变种进化袭来


3. 该勒索病毒 Mallox 的最新版本 bozon3,最早出现于2022年5月初,使用 C++ 编写。恶意文件并未进行复杂的反逆向处理,能够清晰的看到该恶意文件的程序结构和功能逻辑。


警惕SQL弱口令爆破!Mallox新变种进化袭来


4. 程序运行后,会对系统语言进行判断,如果系统使用语言为俄罗斯语、哈萨克语、白俄罗斯、乌克兰、 鞑靼语,则不会执行后续的代码。


警惕SQL弱口令爆破!Mallox新变种进化袭来


5. 如果判定达成,程序首先会提取系统权限,然后破坏系统保护,删除卷影备份,禁用系统故障重启和修复功能。


警惕SQL弱口令爆破!Mallox新变种进化袭来


6. 这里破坏系统保护,主要是让 Raccine 通过镜像文件劫持对抗勒索病毒的手段失效。


Raccine 是一个开源勒索软件保护程序,能够拦截有勒索病毒相关行为的进程。


警惕SQL弱口令爆破!Mallox新变种进化袭来


7. 勒索程序还会关闭数据库相关服务。


警惕SQL弱口令爆破!Mallox新变种进化袭来


8. 完成准备工作,程序会启动大量加密线程,对文件进行加密,将文件后缀名修改文 bozon3,最后释放勒索信。


警惕SQL弱口令爆破!Mallox新变种进化袭来


9. 勒索信内容如下。


警惕SQL弱口令爆破!Mallox新变种进化袭来


解决方案


1 处置建议

1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。

2. 避免到信誉不明的网站下载应用程序。

3. 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;

4. 定期使用杀毒软件进行全盘扫描。


2 深信服解决方案

深信服终端安全管理系统EDR已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;


警惕SQL弱口令爆破!Mallox新变种进化袭来


【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。




深信服千里目安全实验室

警惕SQL弱口令爆破!Mallox新变种进化袭来

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



原文始发于微信公众号(深信服千里目安全实验室):警惕SQL弱口令爆破!Mallox新变种进化袭来

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月25日02:15:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕SQL弱口令爆破!Mallox新变种进化袭来http://cn-sec.com/archives/1046403.html

发表评论

匿名网友 填写信息