HelloKitty你咋能干这样的事呢?

admin 2024年2月22日15:49:39评论10 views字数 844阅读2分48秒阅读模式
HelloKitty你咋能干这样的事呢?

近日,天融信谛听实验室捕获HelloKitty勒索家族的病毒样本,HelloKitty勒索病毒正在利用Apache ActiveMQ远程代码执行(RCE)漏洞侵入网络并进行勒索攻击。该漏洞被标记为CVE-2023-46604,是一个高危RCE漏洞。

HelloKitty勒索病毒自2020年11月开始运营,最著名的攻击是针对CD Projekt Red的攻击,攻击者加密设备,并声称窃取Cyberpunk2077、Witcher3、Gwent等源代码。

病毒分析

(上下滑动查看更多)

该病毒利用png后缀进行伪装。

HelloKitty你咋能干这样的事呢?

侦壳软件检测,未检测到壳。

HelloKitty你咋能干这样的事呢?
根据特征判断为msi文件,解压,找到病毒主程序
HelloKitty你咋能干这样的事呢?
侦壳软件检测,无壳,是.NET文件。
HelloKitty你咋能干这样的事呢?
程序核心内容为base64转换,保存加载运行。
HelloKitty你咋能干这样的事呢?
base64转换后,看文件内容是pe文件。
HelloKitty你咋能干这样的事呢?
用侦壳软件检测,无壳,是.NET文件。
HelloKitty你咋能干这样的事呢?
建立互斥,保证同时只运行一个程序。
HelloKitty你咋能干这样的事呢?
删除卷影,同时杀死以下进程。
HelloKitty你咋能干这样的事呢?
获取环境变量以及目录的路径。
HelloKitty你咋能干这样的事呢?
在目录下准备建立相关文件。
HelloKitty你咋能干这样的事呢?
RSA的密钥。
HelloKitty你咋能干这样的事呢?
获取主机信息
HelloKitty你咋能干这样的事呢?
使用rsa将指定内容加密。
HelloKitty你咋能干这样的事呢?
将时间、之前获取的主机信息以及指定内容进行拼接,使用rsa加密。
HelloKitty你咋能干这样的事呢?
拼接加密后的信息写入pubkey7.txt。

指定内容加密后的信息写入 show7.txt。

HelloKitty你咋能干这样的事呢?
黑客IP和端口。
HelloKitty你咋能干这样的事呢?
将主机信息通过get方式发送到黑客后台。
HelloKitty你咋能干这样的事呢?
探测本地磁盘信息。
HelloKitty你咋能干这样的事呢?
要加密的后缀名列表。
HelloKitty你咋能干这样的事呢?
不加密的目录文件名列表。
HelloKitty你咋能干这样的事呢?
符合特征后准备加密,先用rsa将密钥加密,写入文件,使用Rijndael将文件内容继续加密,加密后写入。
HelloKitty你咋能干这样的事呢?
加密后修改后缀名。
HelloKitty你咋能干这样的事呢?
生成勒索信。
HelloKitty你咋能干这样的事呢?
防护建议

及时修复系统及应用漏洞,降低被HelloKitty勒索软件通过漏洞入侵的风险。

加强访问控制,关闭不必要的端口,禁用不必要的连接,降低资产风险暴露面。

更改系统及应用使用的默认密码,配置高强度密码认证,并定期更新密码,防止弱口令攻击。

定期进行数据备份,并将这些备份数据保存在离线环境或单独的网络中。

原文始发于微信公众号(天融信):HelloKitty你咋能干这样的事呢?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月22日15:49:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HelloKitty你咋能干这样的事呢?http://cn-sec.com/archives/2515537.html

发表评论

匿名网友 填写信息