【更新】新型勒索软件WannaRen风险通告

于 2020-04-08 22:28:58 发布
阅读量931 收藏
点赞数 7
分类专栏: 新增漏洞报告
原文链接:https://mp.weixin.qq.com/s/SXI4o-RvGSQX0yH3PP1c3w
版权

【更新】新型勒索软件WannaRen风险通告

360-CERT [360CERT](javascript:void(0)😉 今天

img

0x00 漏洞背景

2020年04月07日, 360CERT监测发现网络上出现一款新型勒索软件WannaRen,该勒索软件会加密 Windows 系统中几乎任何文件,并且以.WannaRen后缀命名。

0x01 风险等级

360CERT对该事件进行评定

评定方式等级
威胁等级高危
影响面广泛

360CERT建议广大用户及时安装安全防护软件。做好资产 自查/自检/预防 工作,以免遭受攻击。

0x02 事件详情

在运行该勒索软件后会弹出如下界面

img

目前捕获到的比特币地址为:

`1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM```

0x03 细节分析

2020-04-08更新

经360安全大脑分析确认,“WannaRen”勒索病毒的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。

在攻击特征上,“匿影”黑客团伙主要利用BT下载器、激活工具等传播,也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后,通常会执行一个PowerShell下载器,利用该加载器下载下一阶段的后门模块与挖矿木马

PowerShell下载器部分代码:

img

此次新型比特币勒索病毒“WannaRen”的扩散活动中,从表面看与此前的“WannaCry”病毒类似,都是病毒入侵电脑后,弹出勒索对话框,告知已加密文件并向用户索要比特币。但从实际攻击过程来看,“WannaRen”勒索病毒正是通过“匿影”黑客团伙常用PowerShell下载器,释放的后门模块执行病毒。

“WannaRen”勒索病毒攻击全过程:

img

正如上文所述,“匿影”组织转行勒索病毒,但其攻击方式是其早起投放挖矿木马的变种。唯一不同,也是此次“WannaRen”扩散的关键,就在于 PowerShell 下载器释放的后门模块。

从360安全大脑追踪数据来看,该后门模块使用了DLL侧加载技术,会在 “C:\ProgramData” 释放一个合法的exe文件 WINWORD.EXE 和一个恶意 dll 文件 wwlib.dll,启动 WINWORD.EXE 加载 wwlib.dll 就会执行 dll 中的恶意代码。

后门模块会将自身注册为服务,程序会读取C:\users\public\you的内容,启动如下图所示的五个进程之一并将“WannaRen”勒索病毒代码注入进程中执行。

后门模块注入的目标:

img

在注入的代码中,可以看到是此次勒索病毒的加密程序部分:

img

完整的攻击流程如下两图所示:

“匿影”Powershell下载器释放并启动后门模块:

img

“匿影”后门模块注入svchost.exe并加密文件:

img

经分析,360安全大脑还发现“匿影”组织下发的PowerShell下载器中,包含了一个“永恒之蓝”传播模块。该模块会扫描内网中的其他机器,一旦有机器未修复漏洞就会惨遭感染,成为又一个“WannaRen”勒索病毒受害者。

PowerShell下载器中的“永恒之蓝“传播模块:

img

PowerShell下载器释放的“永恒之蓝”漏洞利用工具:

img

除此之外,PowerShell下载器还会在中招机器上安装everything软件,利用该软件“HTTP 服务器”功能的安全漏洞,将受害机器变为一台文件服务器,从而在横向移动时将木马传染至新的机器中。

everything软件:

img

everything配置文件把机器变为文件服务器:

img

0x04 影响版本

  • Windows 7
  • Windows 10

0x05 修复建议

360安全卫士已支持针对该新型PC勒索软件的查杀

img

360CERT建议用户

  1. 不要下载和运行来路不明的文件及程序。
  2. 做好定期系统/关键资料备份,以免遭受恶意软件攻击。
  3. 对于安全软件提示病毒的工具,切勿轻信软件提示添加信任或退出安全软件运行。
  4. 定期检测系统和软件中的安全漏洞,及时安装补丁。
  5. 及时前往 weishi.360.cn,下载安装360安全卫士,查杀“匿影”后门,避免机器被投递勒索病毒。

0x06 产品侧解决方案

360安全卫士

针对该新型PC勒索软件,360安全卫士已支持对其的查杀。

可关注安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士,第一时间获取解密资讯。
https://lesuobingdu.360.cn/

0x07 IoC

sha256

  • 3ee1f9d498dbfa91b468ed47611cdd45624c2a1deab07803d699145d25c632eb

0x08 时间线

2020-04-05 用户反馈该新型WannaRen勒索软件

2020-04-06 360安全卫士支持查杀WannaRen勒索软件

2020-04-07 360CERT发布预警

2020-04-08 更新360安全大脑细节分析

0x0A 参考链接

  1. 勒索病毒,后缀.WannaRen,求助解锁文件!!_360社区 [https://bbs.360.cn/thread-15861844-1-1.html]
  2. 【威胁通告】新型勒索软件WannaRen [https://mp.weixin.qq.com/s/h7IbRW87qf5mnHNzO32rWw]

转载自https://mp.weixin.qq.com/s/SXI4o-RvGSQX0yH3PP1c3w

博客
攻防演练案例讲溯源
07-18 5846
攻防演练的目的是什么?往小了说是为了提高员工网络安全意识,保障客户信息不外泄。往大了说是为了提升国家网络安全实力,保护公民个人信息财产安全。
博客
从CTF比赛真题中学习压缩包伪加密与图片隐写术【文中工具已打包】
03-29 7196
先讲个笑话,刚刚打完MAR DASCTF明御攻防赛,一如往常,很轻松便拿到了两个flag(签到与问卷),哈哈,一个脑细胞都不用消耗本文知识点:遇到加密压缩文件怎么办遇到图片隐写的几种验证方法十六进制数据还原文件大佬就不用看了,全是小白操作这是一道misc题,结合了压缩包伪加密与图片隐写技术,我们就以它为例学习一下这两种常见技术的解决方法就是这个压缩文件,后面带*说明需要密码,但是题中没有任何密码提示,ctf中不可能让你无脑爆破,因为时间是有限的,但也有可能是弱口令,反正无从下手先爆破一
博客
【防守方基础】危险报文识别
03-10 7652
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理,著作权归爱国小白帽所有信息泄露类这种情况是最常见的,也是最难以捕获的,因为它也许不用攻击数据就能轻易获取,尤其是报错或探针页面,配置不当可能泄露很多东西别看它危害小,但往往某个不起眼的信息就可以改变战局命令执行类此类攻击多以echo、curl、wget、cd、ping、cat、ls等命令出现,还是很好辨认的在GET参数中执行命令在POST.
博客
HoneyDrive_3蜜罐系统的安装部署及使用指南
01-27 6828
HoneyDrive是主要的蜜罐Linux发行版。它是安装了Xubuntu Desktop 12.04.4 LTS版的虚拟设备(OVA)。它包含10多个预安装和预配置的蜜罐软件包,例如Kippo SSH蜜罐,Dionaea和Amun恶意软件蜜罐,Honeyd低交互蜜罐,Glastopf Web蜜罐和Wordpot,Conpot SCADA / ICS蜜罐,Thug和PhoneyC honeyclients等。此外,它包括许多有用的预配置脚本和实用程序,以分析,可视化和处理它可以捕获的数据,例如Kipp.
博客
30余种加密编码类型的密文特征分析(建议收藏)
11-11 4万+
一、md5一般MD5值是32位由数字“0-9”和字母“a-f”所组成的字符串,如图。如果出现这个范围以外的字符说明这可能是个错误的md5值,就没必要再拿去解密了。16位值是取的是8~24位。md5的三个特征:确定性:一个原始数据的MD5值是唯一的,同一个原始数据不可能会计算出多个不同的MD5值。碰撞性:原始数据与其MD5值并不是一一对应的,有可能多个原始数据计算出来的MD5值是一样的,这就是碰撞。不可逆:也就是说如果告诉你一个MD5值,你是无法通过它还原出它的原始数据的,这不是你的技术不够牛,
博客
网络安全相关行业必备网站(持续更新中)
10-14 1万+
更新时间:2020年10月22日11:37:29更新内容:更新了码农常用工具直达目录信息收集类搜索引擎指纹识别whois查询子域名爆破端口扫描综合查询身份信息泄露查询威胁情报C段查询:[webscan.cc](https://webscan.cc)加密解密类md5base64站长工具:[tool.chinaz.com](http://tool.chinaz.com/Tools/Unicode.aspx)零宽隐写:[yuanfux.github.io](https://yuanfux.github.i.
博客
企业级内网的域控环境搭建3万字详细部署教程
03-29 7502
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理实验环境:环境搭建:模拟实验:...
博客
企业级内网环境搭建2万字详细教程
03-25 1万+
简单说明:环境需要四台虚拟机,每一台分别充当企业内不同的功能分区,在真实环境中的配置还需视情况自行更改内网搭建示意图目录指南所需设备:内网环境搭建:pfSense安装及使用说明基本安装过程主机端配置过程浏览器端安装过程测试主机之间的连通情况修改各服务器的IP配置检测网络连通情况设置dhcp为办公区分配IP更改防火墙规则只允许办公区上网设置防火墙规则允许全部机器上网设置防火墙规则使外网能访...
博客
一个简单的bat脚本便可实现局域网所有存活IP的精准扫描
03-23 4535
此脚本的扫描可在几秒钟之内完成脚本内容无需更改,如下:@echo offFOR /L %%I in (1,1,255) do ping 192.168.1.%%I -n 1 -w 100arp -a >C:\Users\Administrator\Desktop\1.txtexit保存后双击执行就会出现1.txt文件,里面会出现所有存活主机的IP...
博客
【专题文章导航】本篇收录了SQL注入、漏洞复现、后渗透、新增漏洞报告四个专题的所有文章
03-07 2248
SQL注入篇漏洞复现篇新增漏洞报告mysql 联合查询注入文件上传之js绕过【威胁通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)威胁通告对information_schema数据库的解析文件上传之mime绕过【威胁通告】微软 SQL Server 远程代码执行漏洞(CVE-2020-0618)威胁通告盲注iis6.0解析漏洞......
博客
PHITHON的公开漏洞 | 绝大部分php探针存在xss漏洞
08-10 2056
转载自:https://bugs.leavesongs.com/研究了一下市面上的php探针,发现同源现象较严重。首先发现了php雅黑探针(可以说是国内用的最多的探针了)的一些安全问题,由此各种php探针都躺枪了。就算非同源的php探针往往也容易出现这个问题,这里会给出一些例子。该问题影响范围较广,LNMP、WDCP等linux面板由于自带探针、UPUPW面板也自带探针,所以都躺枪了。简单搜集了一下,影响的探针不止有以下这些:php雅黑探针UenuProbe探针UPUPW PHP 探针B-Ch
博客
Apple任意代码执行漏洞通告
07-27 1412
报告编号:B6-2021-072701报告来源:360CERT报告作者:360CERT更新日期:2021-07-270x01 漏洞简述2021年07月27日,360CERT监测发现Apple发布了macOS、iOS、iPadOS远程代码执行漏洞的风险通告,漏洞编号为CVE-2021-30807,漏洞等级:高危,漏洞评分:8.5。macOS、iOS、iPadOS是Apple公司的操作系统,在全球拥有庞大的用户基数。这些操作系统中的IOMobileFrameBuffer内核拓展中存在一处任意代码.
博客
Windows Print Spooler服务最新漏洞CVE-2021-34527详细分析
07-09 1万+
0x00 前言近日,有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675不同的漏洞,微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程,并对漏洞成因进行了简单的分析。0x01 漏洞复现这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基..
博客
漏洞情报 | WordPress ProfilePress插件多个严重漏洞
07-07 1314
​点击上方 订阅话题 第一时间了解漏洞威胁0x01 漏洞描述WordPress ProfilePress(原 WP User Avatar)是一个轻量级会员插件,可用于创建用户画像、会员目录和用于用户注册、登录、密码重置及用户信息编辑的前端表单。360漏洞云监测到WordPress ProfilePress插件存在多个严重漏洞。CVE-2021-34621 特权提升漏洞在用户注册过程中,攻击者可通过提供任意用户元数据实现权限提升。CVE-2021-34622 特权提升漏洞在用户画
博客
CVE-2021-35464: ForgeRock AM远程代码执行漏洞通告
07-06 1451
报告编号:B6-2021-063002报告来源:360CERT报告作者:360CERT更新日期:2021-06-300x01 漏洞简述2021年06月30日,360CERT监测发现portswigger发布了ForgeRock AM远程代码执行漏洞的漏洞分析报告,漏洞编号为CVE-2021-35464,漏洞等级:严重,漏洞评分:9.8。ForgeRock AM是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码,并接.
博客
【在野利用|PoC公开】CVE-2020-3580: Cisco ASA安全软件XSS漏洞通告
07-06 1273
报告编号:B6-2021-063001报告来源:360CERT报告作者:360CERT更新日期:2021-06-300x01 漏洞简述2021年06月30日,360CERT监测发现Cisco于6月28日发布了 思科自适应安全软件(ASA)和Firepower威胁防御(FTD)软件在野漏洞活跃的风险通告,漏洞编号为CVE-2020-3580,漏洞等级:中危,漏洞评分:6.1`。Cisco ASA软件、FTD软件是运行在Cisco设备上的通用软件,主要用于服务用户防御和监控网络内部的攻击。Ci.
博客
CVE-2021-30116: Kaseya VSA 远程代码执行漏洞通告
07-06 2630
报告编号:B6-2021-070601报告来源:360CERT报告作者:360CERT更新日期:2021-07-060x01 漏洞简述2021年07月06日,360CERT监测发现Kaseya发布了VSA管理软件的风险通告,漏洞等级:严重,漏洞评分:9.8。Kaseya VSA是一款企业用于集中IT管理的软件。分为管理端和用户端,管理端可以批量的控制用户端设备,例如在用户端设备上执行命令、执行脚本、开启/关闭电源等。根据其官方通告以及监测到的REvil利用VSA漏洞的勒索事件,VSA软件中.
博客
【EXP已验证】CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行0day漏洞通告
07-02 1874
报告编号:B6-2021-062902报告来源:360CERT报告作者:360CERT更新日期:2021-07-021更新概览1.漏洞简述新增360CERT对CVE-2021-34527(PrintNightmare)的研判2.漏洞详情新增相关验证截图2漏洞简述2021年06月29日,360CERT监测发现安全研究人员在GitHub上公开了Windows Print Spooler 蠕虫级远程代码执行0day漏洞的EXP,漏洞等级:严重,漏洞评分:10.0。Windows Print
博客
零日漏洞 | 微软披露最新 Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)
07-02 1446
​点击上方 订阅话题 第一时间了解漏洞威胁0x01 漏洞描述Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。360漏洞云监测到微软最新披露了一个新的Windows Print Spooler远程代码执行漏洞(CVE-2021-34527),微软已知该漏洞存在在野利用。该漏洞目前为零日状态,微软暂未发布修复。该漏洞源于Windows Print Spooler服务执行特权文件操作不当,攻击者可利用该漏洞以系统权限运行任意代码。攻击者可以安装
博客
【POC公开】CVE-2021-1675: Windows Print Spooler远程代码执行漏洞通告
06-30 1029
报告编号:B6-2021-062902报告来源:360CERT报告作者:360CERT更新日期:2021-06-290x01 漏洞简述2021年06月29日,360CERT监测发现安全研究人员在GitHub上公开了Windows Print Spooler远程代码执行漏洞的POC,漏洞编号为CVE-2021-1675,漏洞等级:严重,漏洞评分:7.8。Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddP.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值