【恶意文件通告】Magniber恶意文件通告

admin 2022年5月10日22:22:33安全新闻评论25 views1215字阅读4分3秒阅读模式

恶意文件名称Magniber

威胁类型勒索病毒

简单描述

Magniber 是一款勒索病毒,其可以加密受害者主机上的关键文件,敲诈勒索谋取利益。


恶意文件分析


恶意文件描述

近期,深信服终端安全团队发现,一款名为 Magniber 勒索病毒家族正通过破解网站仿冒 Windows10 更新程序进行传播。程序可以将恶意代码打包到 Windows 安装程序MSI 文件中,在安装过程中执行勒索病毒主体,加密受害主机上的文件,并留下勒索信。


2 恶意文件分析

恶意文件被命名为 Win10.0_System_Upgrade_Software.msi ,伪装成 Windows10 的系统更新安装程序。该程序运行后会释放内嵌的具有勒索功能的二进制组件,通过 msiexec 加载执行,之后会将二进制组件删除。整个过程看不到勒索进程独自运行,非常隐蔽。


1. 经过解析,可以看到 msi 文件的 Binary 表中,存在一个名为 f7hsk21tn0 的二进制数据。


【恶意文件通告】Magniber恶意文件通告


2. 在 Action 表中可以看到,Action v0hmumsd80p 的动作就是调用 f7hsk21tn0 内的 b50pxt  导出函数。


【恶意文件通告】Magniber恶意文件通告


3. 将该文件导出后,可以到是一个 64 位的可执行程序,但发现该程序不能正常进行分析调试,该程序的入口点的值为对抗分析被更改为非法数值,导致加载过程中,程序出错。


【恶意文件通告】Magniber恶意文件通告


4. 修复入口点后,加载并运行该程序的 b50pxt 导出函数,行为和直接运行 msi 文件完全一致。将图片、文档等文件的数据内容加密后,后缀改成 gtearevf。最后释放勒索信。


【恶意文件通告】Magniber恶意文件通告


解决方案


处置建议

1. 避免到信誉不明的网站下载应用程序。

2. 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;

3. 定期使用杀毒软件进行全盘扫描。


2 深信服解决方案

【深信服终端检测响应平台EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于 XDR 安全能力平台和 MSSP 安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。




深信服千里目安全实验室

【恶意文件通告】Magniber恶意文件通告

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们





原文始发于微信公众号(深信服千里目安全实验室):【恶意文件通告】Magniber恶意文件通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月10日22:22:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【恶意文件通告】Magniber恶意文件通告 http://cn-sec.com/archives/996270.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: