【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

admin 2024年3月12日17:31:46评论18 views字数 2128阅读7分5秒阅读模式
【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

恶意文件名称:

Mallox

威胁类型:

勒索

简单描述:

Mallox是一款勒索病毒,最早出现于2021年6月中旬,其团伙擅长使用暴力破解弱口令,web漏洞的方式进入网络。

事件描述

近期,深信服深盾终端实验室在运营过程中发现,一款名为Mallox勒索病毒家族的新变种在客户侧传播,该变种使用复杂的控制流混淆技术修改二进制特征以突破安全软件的静态检测。

此次事件中,攻击者以爆破SqlServer弱密码的方式进入客户系统,进行前期打点,搜集必要信息。随后安装anydesk等远控软件接管客户系统,执行勒索病毒,攻击者进行双重勒索,加密并上传系统文件。加密后缀为.Mallox,释放勒索信如下:

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

通过查看Mallox的数据泄露网站发现,从今年3月份开始,Mallox勒索团伙开始活跃起来。

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

技术分析

避免静态分析

为了突破安全软件的静态检测,样本使用了控制流混淆机制对样本进行处理。该混淆通过在指令片段间插入了很多无意义的跳转代码块,这些代码块之间的跳转是通过JMP指令,跳转到事先计算好的地址处。动态调试时,可以通过编写调试器提供的运行时脚本跳过这些混淆代码段。

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

加密前准备

1. 为防止文件被多次加密,病毒会创建名为89A72EF01的事件对象用于同步。

2. 加载PowrProf.dll模块,通过调用PowerSetActiveScheme函数将电源方案设置为高性能模式。高性能GUID为8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c。

3. 通过OpenProcessToken,AdjustTokenPrivileges系列函数开启进程的SeTakeOwnershipPrivilege,SeDebugPrivilege权限。

4. 创建窗口,通过ShutdownBlockReasonCreate函数设置提醒用户要关闭时的提示语句为 Do NOT shutdown OR reboot your PC: this might damag e your files permanently !试图阻止用户关闭电脑。

5. 打开注册表项,通过设置SOFTWAREMicrosoftPolicyManagerdefaultStartHideShutDown,SOFTWAREMicrosoftPolicyManagerdefaultStartHideRestart,SOFTWAREMicrosoftPolicyManagerdefaultStartHideSignOut删除开始菜单中的关机,重启,注销选项。

6. 打开注册表项,通过设置SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem表项关闭UAC验证。

7. 调用CMD,通过下列命令关闭恢复模式bcdedit /set {current} bootstatuspolicy ignoreallfailures,bcdedit /set {current} recoveryenabled no。

8. 通过vssadmin删除卷影C:Windowssysnativevssadmin.exe delete shadows /all /quiet。

9. 关闭可能会影响加密行为的服务

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

加密操作

随后开启加密模块。通过GetLogicalDrives获取系统中的所有磁盘信息,再通过FindFirstFile枚举各磁盘中的每个文件,加密使用的是微软Crypt系列函数。

不会加密下面目录中的文件:

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

不会加密文件名如下的文件:

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

不会加密包含下面后缀的文件:

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

IOC

URL

http://91.215.85.142/QWEwqdsvsf/ap.php

HASH

1C459E171A2FB806F4D284B954D221D9

解决方案

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

处置建议

1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。

2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。

4. 使用官方和经过验证的下载渠道,使用正版开发人员提供的工具/功能激活和更新产品,不建议使用非法激活工具和第三方下载器,因为它们通常用于分发恶意内容。

5. 重要的数据最好双机备份或云备份。

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

深信服解决方案

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件,aES全新上线“动静态双AI引擎”,静态AI能够在未知勒索载荷落地阶段进行拦截,动态AI则能够在勒索载荷执行阶段进行防御,通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护;但建议更新最新版本,取得更好防护效果。

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。

【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

原文始发于微信公众号(深信服千里目安全技术中心):【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月12日17:31:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【勒索防护】Mallox勒索团伙强势来袭,已猎捕最新在野攻击事件https://cn-sec.com/archives/2570385.html

发表评论

匿名网友 填写信息