日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
近期勒索軟件分析研究

勒索軟件在不斷地變化發(fā)展,攻擊者會使用各種方式敲詐目標(biāo)支付贖金,如今它不僅僅是加密數(shù)據(jù),同時也會造成數(shù)據(jù)泄露。

創(chuàng)新互聯(lián)致力于互聯(lián)網(wǎng)品牌建設(shè)與網(wǎng)絡(luò)營銷,包括網(wǎng)站設(shè)計制作、成都網(wǎng)站制作、SEO優(yōu)化、網(wǎng)絡(luò)推廣、整站優(yōu)化營銷策劃推廣、電子商務(wù)、移動互聯(lián)網(wǎng)營銷等。創(chuàng)新互聯(lián)為不同類型的客戶提供良好的互聯(lián)網(wǎng)應(yīng)用定制及解決方案,創(chuàng)新互聯(lián)核心團(tuán)隊十年專注互聯(lián)網(wǎng)開發(fā),積累了豐富的網(wǎng)站經(jīng)驗,為廣大企業(yè)客戶提供一站式企業(yè)網(wǎng)站建設(shè)服務(wù),在網(wǎng)站建設(shè)行業(yè)內(nèi)樹立了良好口碑。

許多公司組織堅信完善的反病毒保護(hù)方案可以防止被勒索軟件攻擊,但是勒索攻擊仍然一次又一次成功。大多是情況下,攻擊者會利用虛擬專用網(wǎng)中的一些已知漏洞,或者對暴露在互聯(lián)網(wǎng)中的主機(jī)進(jìn)行攻擊,并不完全是利用惡意軟件直接進(jìn)行攻擊。

?[[355304]]?

Ragnar Locker

Ragnar Locker在2020年上半年開始攻擊大型組織,它具有很強(qiáng)的針對性,每一個樣本都是為目標(biāo)組織量身定做的。如果受害者拒絕付款,他們的數(shù)據(jù)將被公布在網(wǎng)上。攻擊者聲稱,這筆錢是他們發(fā)現(xiàn)漏洞、為文件提供解密和為受害者提供OpSec培訓(xùn)的獎勵。

根據(jù)拒絕付款的受害者名單,Ragnar Locker的主要目標(biāo)是美國公司,行業(yè)類型各不相同。

Ragnar Locker 技術(shù)分析

研究人員選擇最近發(fā)現(xiàn)的惡意軟件樣本進(jìn)行分析:1195d0d18be9362fb8dd9e1738404c9d

啟動時,Ragnar Locker會檢查計算機(jī)區(qū)域設(shè)置。如果是列出的某個國家區(qū),它將停止操作并退出。

不在上述列表中的國家,它將繼續(xù)檢查一下字符串:

所有準(zhǔn)備工作完成后,木馬程序?qū)⑺阉鞅镜卮疟P并加密受害者的文件。

RagnarLocker使用基于Salsa20進(jìn)行加密。 每個文件的密鑰和隨機(jī)數(shù)值也是唯一生成的,并通過木馬中硬編碼的2048位公共密鑰一起加密。

在加密文件后,Ragnar Locker會將加密的密鑰,隨機(jī)數(shù)和初始化常量添加到加密的文件中,并添加標(biāo)記“!@#_?agna?_#@!”。

Egregor

Egregor勒索軟件于2020年9月被發(fā)現(xiàn),經(jīng)過初步分析,其與Sekhmet勒索軟件和Maze勒索軟件存在關(guān)聯(lián)。

Egregor勒索軟件通常會出現(xiàn)斷網(wǎng)的情況,惡意軟件樣本是一個DLL文件,需要使用命令行參數(shù)并給出的正確密碼來啟動。 Egregor是最激進(jìn)的勒索軟件家族,如果72小時內(nèi)不支付贖金,受害者的數(shù)據(jù)將會被公布。

Egregor技術(shù)分析

研究人員選擇最近發(fā)現(xiàn)的樣本進(jìn)行分析:b21930306869a3cdb85ca0d073a738c5

惡意軟件只有在啟動過程中提供正確密碼才會生效。 此技術(shù)旨在阻礙沙盒自動分析以及研究人員的手動分析,沒有正確的密碼,就不可能解壓縮和分析有效載荷。

解壓運(yùn)行惡意程序后,最終得到了一個混淆的二進(jìn)制文件,該二進(jìn)制文件仍然不適合靜態(tài)分析。 Egregor中使用的混淆技術(shù)與Maze、Sekhmet中的混淆技術(shù)非常相似。

控制流混淆示例

有效負(fù)載開始執(zhí)行時,它將檢查操作系統(tǒng)用戶語言,避免對安裝了以下語言的計算機(jī)進(jìn)行加密:

終止以下進(jìn)程:

Egregor使用基于流密碼ChaCha和非對稱密碼RSA的混合加密方案。

Egregor會生成一對唯一的會話密鑰對。 會話專用RSA密鑰由ChaCha導(dǎo)出并使用唯一生成的密鑰+隨機(jī)數(shù)加密,然后用主公共RSA密鑰加密該密鑰和隨機(jī)數(shù)。 結(jié)果保存在二進(jìn)制文件中(在本例中為C:\ProgramData\dtb.dat),并在贖金記錄中保存為base64編碼的字符串。

Egregor處理的文件會生成一個新的256位ChaCha密鑰和64位隨機(jī)數(shù),通過ChaCha加密文件內(nèi)容,然后使用會話公共RSA密鑰加密秘鑰和隨機(jī)數(shù),最后將它們與一些輔助信息一起保存。每個加密文件的最后16個字節(jié)由動態(tài)標(biāo)記組成。

Egregor的地理覆蓋范圍比Ragnar Locker的更廣

涉及諸多行業(yè):

保護(hù)措施

  • 勿將遠(yuǎn)程桌面服務(wù)(例如RDP)開放到互聯(lián)網(wǎng)中,開放服務(wù)需要使用強(qiáng)密碼;
  • 及時安裝商業(yè)虛擬專用網(wǎng)可用補(bǔ)丁;
  • 及時更新所有設(shè)備上的軟件,防止被勒索軟件攻擊;
  • 將防御策略重點(diǎn)放在檢測橫向移動和向Internet的數(shù)據(jù)泄漏方面;
  • 定期備份數(shù)據(jù);
  • 培訓(xùn)員工提高安全意識,如何防范勒索軟件攻擊。

當(dāng)前題目:近期勒索軟件分析研究
網(wǎng)站路徑:http://www.5511xx.com/article/dppsjho.html