据“中国电信安全”公众号消息:
在2023年11月28日至12月8日,境外高级勒索团伙疑似利用某OA管理系统、某审批管理系统、某资源管理系统的漏洞攻击中国境内能源、高新科技、数据中心、金融和生物制药等行业的二十余个企业、部门,植入后门后尝试内网横移窃取数据并投递Mallox勒索木马加密数据。截至发稿时间,已有多个攻击对象被数据加密勒索。在此,电信安全建议各企业、各部门高度重视本次Mallox勒索团伙攻击预警,及时排查内部是否存在网络威胁并及时升级系统版本,充分利用威胁情报进行自查,强化生产和办公网络隔离,加强重要数据和服务器备份,收敛不必要的互联网暴露面。
水滴实验室,公众号:中国电信安全高能预警情报 | 国内批量企业遭高级勒索团伙利用多个漏洞攻击投毒
由于其公众号分享的IoC未包含历史数据,笔者查询历史收集的一些样本数据进行补充共享,见文章最后。
期间,笔者找到了编译于今年8月18日的样本进行了初步分析,发现些有趣的事情:
1、删除对勒索软件常用系统命令的映像劫持项,这点比较有趣,可能是有对抗手段对其进行了映像劫持,防止勒索软件对系统进行破坏与被勒索后使用卷影拷贝等一系列还原手段,笔者也曾想过该方法,但由于太过简单,容易被恢复,故而在《勒索软件助攻的七种武器》一文中使用了了对危险命令重命名的方法,文件名可以自定义,这样就很难被绕过了。映像劫持系统命令笔者也曾在《以彼之道,还施彼身:一个在办公环境中防止被文档攻击的小妙招》一文中运用过。
2、将电源模式改为活动模式(高性能),防止笔记本电脑自动休眠
3、告知系统不能关闭,并设置在启动系统关闭时向用户显示“Do NOT shutdown OR reboot your PC: this might damage your files permanently”
Yara
rule RansomWare_Mallox_Win{meta:description = "Mallox group"author = "virk"thread_level = 10in_the_wild = truestrings:$a = {53 00 65 00 54 00 61 00 6B 00 65 00 4F 00 77 00 6E 00 65 00}$b = {81 FA 00 10 00 00 72 ?? 56 8B 71 FC 83 C2 23 2B CE 8D 41 FC 83 F8 1F 77}condition:(uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550) and $a and $b}
IoC
f8c7c54fc25c5bdcf08f778b362fab7270c464221d3e4875317c9edbef04a035dd55605300ab06aa88681158c3d62c00a5328247106299a6ac54794c345a03806bd93817967cdb61e0d7951382390fa023b7b0e6737283bdd1b75f61990adbdb6b92568277bb62bfca001d97cfd80112089d624ce16de85ba8f8d0431d6688f74e271ba5498e7511c0b01f3ef1b991146b92568277bb62bfca001d97cfd80112992efe1fbf140f13f22f3094e867277dddce5db099bab8bc56d5ac70d83842a0b1b42fa300d8f43c6deb98754caf09344e7d8cb51a1a9a9c59f5004f28e16c70
原文始发于微信公众号(锐眼安全实验室):被中国电信曝光的Mallox勒索软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论