无文件勒索病毒Sorebrect可感染网络共享中的文件

专题库
来源:FreebuF.COM 2017-06-30 09:55:58 勒索病毒 信息安全

核心提示安全研究人员最近发现了一个新的无文件勒索病毒, 被称为“Sorebrect”,它将恶意代码注入到目标系统的合法进程svchost.exe中, 然后自毁以躲避检测。

无文件勒索病毒Sorebrect可感染网络共享中的文件

  ​安全研究人员最近发现了一个新的无文件勒索病毒, 被称为“Sorebrect”,它将恶意代码注入到目标系统的合法进程svchost.exe中, 然后自毁以躲避检测。

  与传统的勒索病毒不同,Sorebrect主要针对企业的服务器和终端。病毒会同时感染本地文件和网络共享上的文件,对这些文件进行加密。

  这一无文件勒索病毒首先会破坏管理员凭据, 然后使用微软的Sysinternals PsExec 命令行实用程序对文件进行加密。虽然攻击者可以使用远程桌面协议(RDP)和 PsExec 在受影响的机器中安装 Sorebrect 恶意软件,但与使用 RDP 相比,利用 PsExec 更为简单。PsExec 可使攻击者能够执行远程命令,而非使用交互登录会话或将恶意软件手动传输至远程机器设备。

  可感染网络共享中的文件

  Sorebrect同时可以扫描网络上其他计算机的共享文件并锁定这些文件。如果网络上其他计算机的某个共享,被设置为任何人都有读写访问权限, 那么该共享的文件也将遭到加密。

  勒索软件随后会在受感染的计算机上使用wevtutil.exe删除所有事件日志,并使用vssadmin删除所有卷影副本。而这二者正是判断病毒感染及发作时间的关键性证据。

  此外,勒索软件 Sorebrect 可利用 Tor 网络匿名连接至命令与控制(C&C)服务器中,从而防止追溯。

  全球范围内广泛传播

  无文件勒索软件Sorebrect专门针对各种行业的系统(包括制造、技术和电信)进行攻击。

  根据趋势科技的调查显示,Sorebrect最初以中东国家为目标,但从上月开始, 这一威胁已经蔓延到加拿大、中国大陆、克罗地亚、意大利、日本、墨西哥、俄罗斯、中国台湾和美国。

  研究人员指出:“考虑到勒索软件潜在的破坏力和非法盈利能力,Sorebrect很可能出现在全世界的其他地区,甚至有可能在地下黑市被出售。”

  然而,这并不是研究人员首次遇到无文件恶意软件。在两个月前,Talos的研究人员就发现过一个完全无文件的DNS Messenger攻击, 并使用了DNS txt消息传递功能来破坏系统。

  今年2月,卡巴斯基的研究人员还发现了无文件的恶意软件,这一恶意软件以近40个国家的银行、电信公司和政府机构为攻击目标。

  防范方法

  由于勒索病毒不仅仅针对个人,也会攻击组织及企业,相关的系统管理员和安全工程师可以采取下列方法进行防范:

  · 限制用户的读写权限:如果将所有权限随意授予给普通用户,会使网络共享存在较大风险,因此需要授予不同用户不同的权限。

  · 限制PsExec的权限: 限制PsExec, 并且只允许系统管理员运行它们。

  · 定期更新操作系统及网络: 始终保持操作系统、软件和其他应用程序的更新。

  · 定期进行数据备份: 对所有重要的文件和文档进行定期备份,将数据备份到不经常连接计算机的外部存储设备。

  · 培养员工的安全意识:对员工进行恶意软件、威胁情报和安全措施的培训,这一点也同样至关重要。

责任编辑:韩希宇

为你推荐

    暂无相关推荐
    合作媒体

    中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 电商中心 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 钱讯网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网

    微信

    QQ

    微博