设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 唐人街茶馆 Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 ...
回复 发帖
返回列表 发新帖
开启左侧

[闲聊] Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

[复制链接]
22496 0
钟伟1 发表于 2022-1-11 16:34:18 | 只看该作者 打印 上一主题 下一主题
 
Maze勒索病毒,又称Chacha勒索病毒,是今年5月份由Malwarebytes安全研究员首次发现,使用Fallout漏洞利用工具包通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播,近日又发现它使用Spelevo漏洞利用工具包进行传播
此前使用Fallout漏洞利用工具包通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第1张图片
近日国外安全研究人员又发现它使用Spelevo漏洞利用工具包进行传播,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第2张图片
同时此勒索病毒近期仍然在使用Fallout漏洞利用工具包进行传播,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第3张图片
到目前为此,此勒索病毒主要通过以下两种漏洞利用工具包进行传播:
1.Fallout漏洞利用工具包(FalloutEK)
2.Spelevo漏洞利用工具包(SpelevoEK)
后面会不会使用更多的漏洞利用工具包进行传播,需要持续关注,笔者发现近期使用漏洞利用工具包传播各种恶意软件的攻击活动越来越多,黑客通过漏洞利用工具包,下载各种恶意软件到受害者电脑上进行安装提醒用户在上网的时候一定要提高自身安全意识,不要随意打开或浏览一些不明网站,以防中招!

Maze勒索病毒使用RSA+Salsa20方式加密文件,加密后的文件后缀名为随机文件名,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第4张图片
加密文件之后,此勒索病毒同样也会修改桌面背景图片,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第5张图片
生成的勒索提示信息文件DECRYPT-FILES.txt,内容如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第6张图片
这个勒索提示信息和相关的操作是不是和Sodinokibi勒索病毒的很像?我们可以发现Sodinokibi勒索病毒是在四月份左右在国内首次被发现的,此勒索病毒同样提供了两个不同的解密信息网站,一个基于TOR,一个不基于TOR,打开Maze勒索病毒的解密网站,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第7张图片
黑客要求提供0.04839656 BTC(相当于400美元)进行解密,如果超过时间限制,解密费用就会翻倍,同时提示了一个简单的聊天接口,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第8张图片
黑客的BTC钱包地址:
32UtCHrwgVKDjXPejsZivjHg2MD9evyBC5
这款勒索病毒同样采用外壳程序保护核心勒索加密代码的方式,在调试的过程中发现一个有趣的东西,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第9张图片
you are my shame!!
you are nothing
看来恶意软件作者开始表达不满了......

分配相应的内存空间,解密出shellcode代码,然后创建线程调用解密出来的shellcode代码,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第10张图片
shellcode代码再次分配内存空间,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第11张图片
在内存中解密出Maze勒索病毒的核心代码,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第12张图片
核心代码采用了高强度的代码混淆的方式对抗安全研究人员进行静态分析,相关的函数调用方式,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播 第13张图片
国内已经有相应的分析报告了,就不重复写了
通过研究发现此勒索病毒与之前的GandCrab、Sodinokibi勒索病毒在一些“表现形式”上有一些相似之处,随着GandCrab勒索病毒停止运营之后,其他后起之秀不断涌现,已经出现了多个类似"表现形式"的勒索病毒,此前文章中已经提到GandCrab的源代码也在某平台上公开出售,出售价为2000美元,未来新型的勒索病毒可能会越来越多,传播的方式会越来越广,各企业一定要保持高度的安全意识,切不可放松警惕,一旦机器被加密,很多勒索病毒是无法解密的,只能去联系勒索病毒黑产团队进行解密处理

勒索病毒攻击真的是越来越多了,旧的勒索病毒不断变种,新型的勒索病毒不断出现,全球每天都有勒索病毒的变种被发现,每天都有不同的企业被勒索病毒攻击,真的是数不甚数,太多了,随着BTC等虚拟货币的流行,未来勒索病毒的攻击还会持续增多,而且会慢慢转向针对不同的平台进行攻击,勒索病毒已经成为了全球网络安全最大的威胁


上一篇:真正的抗新冠特效药来了!疫情结束还远吗?
下一篇:千万不要低估新型冠状病毒的传播能力和危害
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报
回复

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

钟伟1白金会员

0关注

7粉丝

427帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-5-28 10:29