已完本玄幻小说排行榜,欢乐颂第三季

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

你以為只有WannaCry濫用了NSA漏洞？早有隱秘后門走在前面

WannaCry勒索軟件爆發(fā)的余波中，安全研究人員發(fā)現(xiàn)，過去幾周里還有其他大量攻擊同樣利用了“永恒之藍(lán)”漏洞利用程序進(jìn)行惡意軟件投放。

成都創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價比沙雅網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式沙雅網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋沙雅地區(qū)。費(fèi)用合理售后完善，10余年實(shí)體公司更值得信賴。

該漏洞利用在4月份被自稱“影子經(jīng)紀(jì)人”的黑客團(tuán)伙公開，是個針對 TCP 445 端口上服務(wù)器消息塊(SMB)漏洞的利用程序，據(jù)說是從NSA御用黑客組織“方程式小組”手上偷來的。該程序所利用的漏洞其實(shí)早在3月份就放出了修復(fù)補(bǔ)丁。

WannaCry的快速傳播將“永恒之藍(lán)”推到了臺前，但其他惡意軟件家族早在WannaCry之前就已經(jīng)在用它進(jìn)行感染了。其中之一就是名為Adylkuzz的僵尸網(wǎng)絡(luò)，自4月24日開始活躍。

如今，初創(chuàng)安全公司Cyphort稱，一臺蜜罐服務(wù)器上的證據(jù)表明，對SMB的攻擊在5月初開始活躍，但不釋放勒索軟件，而是放出隱秘遠(yuǎn)程訪問木馬(RAT)。該惡意軟件沒有蠕蟲功能，不會像WannaCry一樣傳播。

該惡意軟件似乎是從中國的一個IP(182.18.23.38)分發(fā)的。如果漏洞利用成功，加密載荷會以shellcode的形式發(fā)出，其中嵌入了一個DLL，具備木馬的基本功能，比如下載其他惡意軟件和接收控制者的指令。

該惡意軟件下載的文件當(dāng)中，有一個文件的功能就是關(guān)閉445端口，防止其他惡意軟件也利用該漏洞。另一個文件應(yīng)該是個第二階段的攻擊載荷。該RAT會設(shè)置一系列注冊表啟動項(xiàng)，用以下載和執(zhí)行其他惡意軟件。

該惡意軟件會嘗試刪除一些用戶，停止/刪除各種進(jìn)程/文件。內(nèi)存轉(zhuǎn)儲分析揭示，它會去連接托管在中國網(wǎng)站上的一個遠(yuǎn)程訪問工具——ForShare 8.28。

該RAT功能全面，可以從服務(wù)器接收并執(zhí)行指令，監(jiān)視屏幕，捕獲音頻視頻，監(jiān)視鍵盤，傳輸數(shù)據(jù)，刪除文件，終止進(jìn)程，執(zhí)行程序，枚舉文件和進(jìn)程，下載文件，以及控制機(jī)器。

因?yàn)橐簧蟻砭完P(guān)閉445端口，Cyphort認(rèn)為，該威脅肯定知道“永恒之藍(lán)”漏洞，并且試圖讓其他惡意軟件無法再碰有該漏洞的機(jī)器。

Cyphort安全公司稱：“我們認(rèn)為，該攻擊背后的組織，應(yīng)該就是2月份卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)的傳播Mirai的那個。他們的攻擊指標(biāo)(IOC)存在共同點(diǎn)?！?/p>

本周一份報告中，Secdo同樣宣稱，發(fā)現(xiàn)了在WannaCry之前幾周就有惡意軟件利用“永恒之藍(lán)”的證據(jù)。其中一個惡意程序，似乎還是會盜取用戶憑證的勒索軟件家族。

該公司研究人員稱：“自4月中旬起，就有一波不留痕跡的隱秘攻擊在利用NSA漏洞利用程序感染各大公司。勒索軟件是其中最明顯的載荷，但下面還深藏著更復(fù)雜的攻擊沒有被人注意到。”

作為該攻擊的一部分，黑客用了基于“永恒之藍(lán)”的一個蠕蟲來感染被侵入網(wǎng)絡(luò)中的所有主機(jī)，并在主機(jī)上部署后門或滲漏登錄憑證，以期長期掌控這些主機(jī)。

其中一個攻擊源于俄羅斯的IP(77.72.84.11)。利用NSA漏洞利用程序侵入后，攻擊者在合法應(yīng)用中創(chuàng)建一個線程，從SourceForge下載多個模塊，包括 SQLite DLL，用來從火狐瀏覽器中盜取登錄憑證。

被盜數(shù)據(jù)通過TOR網(wǎng)絡(luò)滲漏出去，然后純內(nèi)存運(yùn)行的CRY128勒索軟件變種被啟動，將系統(tǒng)上所有文檔加密。

最近發(fā)現(xiàn)的通過“永恒之藍(lán)”傳播的UIWIX勒索軟件，同樣只在內(nèi)存執(zhí)行，形成無文件感染。UIWIX也包含用來盜取更多憑證的代碼。

另一個攻擊涉及中國黑客，會在被感染主機(jī)上投放一個后門。該攻擊始于進(jìn)程注入，與上面所述攻擊類似，但最后終結(jié)在下載某已知rootkit后門上(基于Agony)。被下載的文件名為666.exe，已經(jīng)被殺毒軟件封禁了。

Secdo指出：“鑒于以上發(fā)現(xiàn)，我們推測，傷害范圍可能之前認(rèn)為的要大很多。至少有3個不同組織，自4月底開始，就在利用NSA漏洞利用程序來感染企業(yè)網(wǎng)絡(luò)?！?/p>

今年1月，影子經(jīng)紀(jì)人拍賣SMB零日漏洞利用的時候，美國計(jì)算機(jī)應(yīng)急響應(yīng)小組(US-CERT)就發(fā)出了一個警告。2月，Windows SMBv3 零日漏洞 (CVE-2017-0016)被評估為高嚴(yán)重性級別——之前只是關(guān)鍵級別。

本文標(biāo)題：你以為只有WannaCry濫用了NSA漏洞？早有隱秘后門走在前面
分享鏈接：http://m.fisionsoft.com.cn/article/djehjhp.html

新聞中心

其他資訊