日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Mallox(又名TargetCompany、FARGO和Tohnichi)是一種針對(duì)Windows系統(tǒng)的勒索軟件。自2021年6月出現(xiàn)以來(lái)就一直很活躍，并以利用不安全的MS-SQL服務(wù)器作為攻擊手段來(lái)攻擊受害者的網(wǎng)絡(luò)而聞名。

我們提供的服務(wù)有：成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站、微信公眾號(hào)開(kāi)發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、沙縣ssl等。為千余家企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的沙縣網(wǎng)站制作公司

最近，Unit 42的研究人員觀察到與去年相比，利用MS-SQL服務(wù)器傳播勒索軟件的Mallox勒索軟件活動(dòng)增加了近174%。研究人員觀察到，Mallox勒索軟件使用暴力破解、數(shù)據(jù)泄露和網(wǎng)絡(luò)掃描儀等工具。此外，有跡象表明，該組織正在擴(kuò)大其業(yè)務(wù)，并在黑客論壇上招募成員。

Mallox勒索軟件概述

與許多其他勒索軟件一樣，Mallox勒索軟件使用了雙重勒索方法：在加密組織文件之前竊取數(shù)據(jù)，然后威脅將竊取的數(shù)據(jù)發(fā)布在泄露網(wǎng)站上，增加勒索籌碼。

下圖顯示了Tor瀏覽器上的Mallox勒索軟件網(wǎng)站。盡管這些組織的名稱和標(biāo)識(shí)已經(jīng)被涂黑，但這就是該組織展示其目標(biāo)泄露數(shù)據(jù)的方式。

Tor瀏覽器上的Mallox網(wǎng)站

每個(gè)受害者都有一把私鑰，可以與該組織互動(dòng)并協(xié)商條款和付款。下圖展示了用于交流的工具。

Tor瀏覽器上的Mallox私人聊天

Mallox勒索軟件幕后組織聲稱有數(shù)百名受害者被攻擊。雖然受害者的實(shí)際人數(shù)尚不清楚，但分析顯示，全球有潛在受害者已經(jīng)很多，涉及多個(gè)行業(yè)，包括制造業(yè)、法律服務(wù)、批發(fā)和零售業(yè)。

自2023年初以來(lái)，Mallox的活動(dòng)一直在不斷增加。根據(jù)研究人員追蹤分析和從公開(kāi)威脅情報(bào)來(lái)源收集的數(shù)據(jù)，與2022年下半年相比，2023年Mallox攻擊增加了約174%。

從2022年下半年到2023年上半年的Mallox攻擊嘗試

初始訪問(wèn)

自2021年出現(xiàn)以來(lái)，Mallox組織一直采用相同的方法獲得初始訪問(wèn)權(quán)限，該組織以不安全的MS-SQL服務(wù)器為目標(biāo)滲透到網(wǎng)絡(luò)中。這些攻擊從字典暴力攻擊開(kāi)始，嘗試針對(duì)MS-SQL服務(wù)器的已知或常用密碼列表。在獲得訪問(wèn)權(quán)限后，攻擊者使用命令行和PowerShell從遠(yuǎn)程服務(wù)器下載Mallox勒索軟件負(fù)載。

響應(yīng)由Cortex XDR和XSIAM引發(fā)的Mallox勒索軟件字典暴力攻擊而引發(fā)的警報(bào)示例

Mallox勒索軟件感染的命令行示例：

該命令行執(zhí)行以下操作：

從hxxp://80.66.75[.]36/aRX.exe下載勒索軟件有效負(fù)載，并保存為tzt.exe;

運(yùn)行名為updt.ps1的PowerShell腳本;

接下來(lái)，有效負(fù)載繼續(xù)執(zhí)行以下操作(未在上面顯示的命令行腳本中顯示)：

下載另一個(gè)名為system.bat的文件，并將其保存為tzt.bat;

“tzt.bat”文件用于創(chuàng)建名為“SystemHelp”的用戶，并啟用RDP協(xié)議;

使用Windows管理工具(WMI)執(zhí)行勒索軟件有效負(fù)載tzt.exe;

下圖顯示了Cortex XDR和XSIAM如何檢測(cè)SQL服務(wù)器利用的第一階段。

SQL服務(wù)器利用過(guò)程(僅限于測(cè)試目)

勒索軟件執(zhí)行

在進(jìn)行任何加密之前，勒索軟件有效負(fù)載會(huì)嘗試多種操作以確保勒索軟件成功執(zhí)行，例如：

嘗試使用sc.exe和net.exe停止和刪除sql相關(guān)的服務(wù)。這樣，勒索軟件就可以訪問(wèn)并加密受害者的文件數(shù)據(jù)。

試圖刪除卷影，使文件加密后更難被恢復(fù)。

刪除卷影副本的警報(bào)，由Cortex XDR和XSIAM引發(fā)

試圖使用微軟的wevtutil命令行工具清除應(yīng)用程序、安全、設(shè)置和系統(tǒng)事件日志，以阻止檢測(cè)和取證分析工作;

使用Windows內(nèi)置的takeown.exe命令修改文件權(quán)限，拒絕訪問(wèn)cmd.exe和其他關(guān)鍵系統(tǒng)進(jìn)程;

防止系統(tǒng)管理員使用bcdedit.exe手動(dòng)加載系統(tǒng)映像恢復(fù)功能;

試圖使用taskkill.exe終止與安全相關(guān)的進(jìn)程和服務(wù)，以逃避檢測(cè);

試圖繞過(guò)檢測(cè)反勒索軟件產(chǎn)品，如果存在，通過(guò)刪除其注冊(cè)表項(xiàng)。下圖是整個(gè)過(guò)程的一個(gè)示例。

刪除檢測(cè)注冊(cè)表項(xiàng)

如下圖所示，勒索軟件的流程樹(shù)中顯示了上述一些活動(dòng)：

攻擊的完整進(jìn)程樹(shù)，如Cortex XDR和XSIAM所示(僅為檢測(cè)模式)

這個(gè)調(diào)查的Mallox勒索軟件示例使用ChaCha20加密算法對(duì)文件進(jìn)行加密，并為加密的文件添加.malox擴(kuò)展名。除了使用受害者的名字作為擴(kuò)展名之外，觀察到的其他文件擴(kuò)展名還有：.FARGO3、.colouse、.avast、.bitenc和.xollam。有關(guān)Cortex XDR中加密文件的示例如下圖所示。

Cortex XDR檢測(cè)到的Mallox勒索軟件加密的文件示例(僅為檢測(cè)模式)

Mallox在受害者驅(qū)動(dòng)器的每個(gè)目錄中都留下了一張勒索信，其中解釋了感染情況并提供了聯(lián)系信息，如下圖所示。

Mallox勒索信示例

執(zhí)行后，惡意軟件會(huì)自行刪除。

根據(jù)其一名成員的說(shuō)法，Mallox是一個(gè)相對(duì)較小且封閉的組織。然而，該組織似乎正在通過(guò)招募附屬公司來(lái)擴(kuò)大業(yè)務(wù)。

在這次采訪幾天后，一位名叫Mallex的用戶在黑客論壇RAMP上發(fā)帖稱，Mallox勒索軟件組織正在為一個(gè)新的Mallox軟件即服務(wù)(RaaS)分支計(jì)劃招募分支機(jī)構(gòu)，如下圖所示。

用戶Mallx在RAMP上的帖子

早在2022年5月，一位名叫RansomR的用戶在著名的黑客論壇上發(fā)帖稱，Mallox組織正在尋找加入該組織的附屬公司。

RansomR在null上的帖子

如果他們的計(jì)劃取得成功，Mallox組織可能會(huì)擴(kuò)大其覆蓋范圍，以攻擊更多的組織。

總結(jié)

Mallox勒索軟件組織在過(guò)去幾個(gè)月里更加活躍，如果招募附屬機(jī)構(gòu)成功，他們最近的招募工作可能使他們能夠攻擊更多的組織。

組織應(yīng)該時(shí)刻保持高度警惕，并準(zhǔn)備好防御勒索軟件的持續(xù)威脅。這不僅適用于Mallox勒索軟件，也適用于其他勒索軟件。

建議確保所有面向互聯(lián)網(wǎng)的應(yīng)用程序都配置正確，所有系統(tǒng)都打了補(bǔ)丁并盡可能更新。這些措施將有助于減少攻擊面，從而限制攻擊。

部署XDR/EDR解決方案來(lái)執(zhí)行內(nèi)存檢查和檢測(cè)進(jìn)程注入技術(shù)。執(zhí)行攻擊搜索，尋找與安全產(chǎn)品防御逃避、服務(wù)帳戶橫向移動(dòng)和域管理員相關(guān)的用戶行為相關(guān)的異常行為的跡象。

緩解措施

Palo Alto Networks Cortex XDR檢測(cè)并阻止Mallox勒索軟件執(zhí)行的文件操作和其他活動(dòng)。

阻止Mallox執(zhí)行的終端用戶通知

由Cortex XDR和XSIAM引發(fā)的可疑文件修改警報(bào)(僅為檢測(cè)模式)

SmartScore是一個(gè)獨(dú)特的機(jī)器學(xué)習(xí)驅(qū)動(dòng)的評(píng)分引擎，它將安全調(diào)查方法及其相關(guān)數(shù)據(jù)轉(zhuǎn)換為混合評(píng)分系統(tǒng)，對(duì)涉及Mallox勒索軟件的事件進(jìn)行了100分的評(píng)分。這種類型的評(píng)分可以幫助分析人員確定哪些事件更緊急，并提供評(píng)估原因，幫助確定優(yōu)先級(jí)。

關(guān)于Mallox勒索軟件事件的SmartScore信息

針對(duì)Mallox勒索軟件的安全產(chǎn)品要具有以下功能，才能起到有效保護(hù)：

識(shí)別已知的惡意樣本;

高級(jí)URL過(guò)濾和DNS安全將與該組織關(guān)聯(lián)的域識(shí)別為惡意;

通過(guò)分析來(lái)自多個(gè)數(shù)據(jù)源(包括終端、網(wǎng)絡(luò)防火墻、Active Directory、身份和訪問(wèn)管理解決方案以及云工作負(fù)載)的用戶活動(dòng)來(lái)檢測(cè)基于用戶和憑據(jù)的威脅。另外，還可以通過(guò)機(jī)器學(xué)習(xí)建立用戶活動(dòng)的行為概況。通過(guò)將新活動(dòng)與過(guò)去的活動(dòng)和預(yù)期行為進(jìn)行比較，檢測(cè)到攻擊的異常活動(dòng)。

分享名稱：新型Mallox勒索軟件通過(guò)招募加盟組織來(lái)快速擴(kuò)張
本文URL：http://www.5511xx.com/article/coshgpg.html