欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

无文件勒索病毒Sorebrect可感染网络共享中的文件

来源:本站整理 作者:佚名 时间:2017-06-20 TAG: 我要投稿


​安全研究人员最近发现了一个新的无文件勒索病毒, 被称为“Sorebrect”,它将恶意代码注入到目标系统的合法进程svchost.exe中, 然后自毁以躲避检测。
与传统的勒索病毒不同,Sorebrect主要针对企业的服务器和终端。病毒会同时感染本地文件和网络共享上的文件,对这些文件进行加密。
这一无文件勒索病毒首先会破坏管理员凭据, 然后使用微软的Sysinternals PsExec 命令行实用程序对文件进行加密。虽然攻击者可以使用远程桌面协议(RDP)和 PsExec 在受影响的机器中安装 Sorebrect 恶意软件,但与使用 RDP 相比,利用 PsExec 更为简单。PsExec 可使攻击者能够执行远程命令,而非使用交互登录会话或将恶意软件手动传输至远程机器设备。
可感染网络共享中的文件
Sorebrect同时可以扫描网络上其他计算机的共享文件并锁定这些文件。如果网络上其他计算机的某个共享,被设置为任何人都有读写访问权限, 那么该共享的文件也将遭到加密。
勒索软件随后会在受感染的计算机上使用wevtutil.exe删除所有事件日志,并使用vssadmin删除所有卷影副本。而这二者正是判断病毒感染及发作时间的关键性证据。
此外,勒索软件 Sorebrect 可利用 Tor 网络匿名连接至命令与控制(C&C)服务器中,从而防止追溯。
全球范围内广泛传播
无文件勒索软件Sorebrect专门针对各种行业的系统(包括制造、技术和电信)进行攻击。
根据趋势科技的调查显示,Sorebrect最初以中东国家为目标,但从上月开始, 这一威胁已经蔓延到加拿大、中国大陆、克罗地亚、意大利、日本、墨西哥、俄罗斯、中国台湾和美国。
研究人员指出:“考虑到勒索软件潜在的破坏力和非法盈利能力,Sorebrect很可能出现在全世界的其他地区,甚至有可能在地下黑市被出售。”
然而,这并不是研究人员首次遇到无文件恶意软件。在两个月前,Talos的研究人员就发现过一个完全无文件的DNS Messenger攻击, 并使用了DNS txt消息传递功能来破坏系统。
今年2月,卡巴斯基的研究人员还发现了无文件的恶意软件,这一恶意软件以近40个国家的银行、电信公司和政府机构为攻击目标。
防范方法
由于勒索病毒不仅仅针对个人,也会攻击组织及企业,相关的系统管理员和安全工程师可以采取下列方法进行防范:
·  限制用户的读写权限:如果将所有权限随意授予给普通用户,会使网络共享存在较大风险,因此需要授予不同用户不同的权限。
·  限制PsExec的权限: 限制PsExec, 并且只允许系统管理员运行它们。
·  定期更新操作系统及网络: 始终保持操作系统、软件和其他应用程序的更新。
·  定期进行数据备份: 对所有重要的文件和文档进行定期备份,将数据备份到不经常连接计算机的外部存储设备。
·  培养员工的安全意识:对员工进行恶意软件、威胁情报和安全措施的培训,这一点也同样至关重要。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载