危險(xiǎn)預(yù)警

近日天融信諦聽實(shí)驗(yàn)室捕獲一起Mallox勒索病毒攻擊事件，黑客在成功侵入內(nèi)網(wǎng)后下發(fā)勒索病毒文件，勒索病毒運(yùn)行后迅速加密數(shù)據(jù)庫(kù)文件，在文件名后附加“ .consultraskey-ID號(hào)”、“.Mallox”等后綴來(lái)重命名所有加密文件，導(dǎo)致文件不可用，影響業(yè)務(wù)運(yùn)行，同時(shí)還會(huì)嘗試在內(nèi)網(wǎng)中橫向移動(dòng)，獲取更多設(shè)備的權(quán)限并進(jìn)一步擴(kuò)散，危害性極大。

Mallox勒索病毒家族又被國(guó)外稱作Target Company，于2021年10月進(jìn)入中國(guó)，該家族主要針對(duì)企業(yè)的Web應(yīng)用發(fā)起攻擊，包括Spring Boot、Weblogic、通達(dá)OA等。天融信EDR系統(tǒng)、自適應(yīng)安全防御系統(tǒng)、過(guò)濾網(wǎng)關(guān)系統(tǒng)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)，以及新版本的入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)等產(chǎn)品均可精確檢測(cè)并查殺該勒索病毒，為終端提供全面的安全防護(hù)，有效阻止該事件蔓延。

病毒分析

Mallox勒索病毒最新變種的加載器采用C#編寫，函數(shù)名稱嚴(yán)重混淆且中間添加了很多垃圾運(yùn)算指令，這給沙箱自動(dòng)化分析和人工逆向都帶來(lái)了不小的困難。

樣本運(yùn)行后首先會(huì)使用Sleep方法設(shè)置隨機(jī)數(shù)進(jìn)行長(zhǎng)時(shí)間睡眠，以此來(lái)規(guī)避沙箱的自動(dòng)化分析。

在睡眠時(shí)間結(jié)束后，進(jìn)程會(huì)解密出大小為0x4A800h大小C#編寫的PE文件，該P(yáng)E文件同樣被混淆。

本體軟件使用Invoke方法創(chuàng)建脫離原始進(jìn)程調(diào)用鏈的新進(jìn)程，最終會(huì)在內(nèi)存中展開并運(yùn)行C++和C語(yǔ)言編寫的勒索母體，開始執(zhí)行真正的惡意代碼。

惡意代碼先嘗試從IP地址為91.243.44[.]32的服務(wù)器下載F.bat，如果服務(wù)器失活下載失敗，則不會(huì)表現(xiàn)出后續(xù)的惡意行為而退出。

F.bat的主要功能是停止MSSQL、SQL Server、Oracle常見數(shù)據(jù)庫(kù)相關(guān)的進(jìn)程、服務(wù)并強(qiáng)制刪除相關(guān)注冊(cè)表，除此之外還對(duì)Kingdee ERP系統(tǒng)進(jìn)行攻擊。針對(duì)國(guó)內(nèi)廠商軟件，停止并結(jié)束阿里云服務(wù)、百度網(wǎng)盤、360瀏覽器醫(yī)生、QQ安全防護(hù)等進(jìn)程。

C++和C語(yǔ)言編寫的勒索母體在加密過(guò)程中排除的文件后綴如下：

.lnk,.exe,.nls,.shs,.themepack,.bin,.msp,.wpx,.deskthemepack,.diagpkg,.icns,.ani,.msc,.ico,.cmd,.msu,.diagcfg,.cab,.prf,.ocx,.theme,

scr,.mod,.diangcab,.adv,.bat,.drv,.rom,.mpa,.key,.msi,.spl,.com,.hlp,.ics,.cpl,.lock,.cur,.hta,.dll,.nomedia,.sys,.rtp,.idx,.icl,.msstyles。

Mallox勒索軟件在加密文件的過(guò)程中會(huì)排除包含以下字符串的文件目錄。

Mallox勒索軟件最終加密文件使用的是chacha20 算法，chacha20 算法是salsa20 流密碼的一種變體，該對(duì)稱算法可在短時(shí)間內(nèi)加密主機(jī)所有文件。

通信并發(fā)送主機(jī)的主機(jī)名、域控名稱及磁盤設(shè)備的型號(hào)信息。

在遍歷文件進(jìn)行加密時(shí)，Mallox勒索會(huì)在被加密文件的目錄下釋放告知信INFORMATION.txt，告知受害者文件已經(jīng)被加密，并留下受害ID和黑客的聯(lián)系方式。

最終勒索病毒通過(guò)執(zhí)行以下cmd命令防止被加密文件的恢復(fù)：

Cmd /c bcdedit /set {current} bootstatuspolicy ignoreallfailures

Cmd /c bcdedit /set {current} recoveryenabled no

delete shadows /all /quiet

樣本IOCs列表

防護(hù)建議

1、及時(shí)修復(fù)系統(tǒng)及應(yīng)用漏洞，降低被Mallox勒索病毒通過(guò)漏洞入侵的風(fēng)險(xiǎn)。

2、加強(qiáng)訪問(wèn)控制，關(guān)閉不必要的端口，禁用不必要的連接，降低資產(chǎn)風(fēng)險(xiǎn)暴露面。

3、更改系統(tǒng)及應(yīng)用使用的默認(rèn)密碼，配置高強(qiáng)度密碼認(rèn)證，并定期更新密碼，防止弱口令攻擊。

4、可安裝天融信安全產(chǎn)品加強(qiáng)防護(hù)，天融信EDR系統(tǒng)、自適應(yīng)安全防御系統(tǒng)、過(guò)濾網(wǎng)關(guān)系統(tǒng)等均可有效防御該勒索病毒。

遇到病毒不要慌

天融信馬上幫您防御

天融信EDR系統(tǒng)防御配置

● 依托基因識(shí)別技術(shù)針對(duì)Mallox勒索病毒種族核心精準(zhǔn)識(shí)別，高效解決變種問(wèn)題，通過(guò)創(chuàng)建周期掃描任務(wù)，定時(shí)對(duì)主機(jī)進(jìn)行全面清理，消除安全隱患。

● 通過(guò)微隔離策略加強(qiáng)訪問(wèn)控制，降低橫向感染風(fēng)險(xiǎn)。

● 開啟文件實(shí)時(shí)監(jiān)控功能，可有效預(yù)防和查殺該勒索病毒。

● 開啟系統(tǒng)加固功能，可有效攔截該勒索病毒對(duì)系統(tǒng)關(guān)鍵位置進(jìn)行破壞和篡改。

天融信自適應(yīng)安全防御系統(tǒng)防御配置

● 通過(guò)微隔離策略加強(qiáng)訪問(wèn)控制，降低橫向感染風(fēng)險(xiǎn)。

● 通過(guò)風(fēng)險(xiǎn)發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令，降低風(fēng)險(xiǎn)、減少資產(chǎn)暴露。

● 開啟病毒實(shí)時(shí)監(jiān)測(cè)功能，可有效預(yù)防和查殺該勒索病毒。

天融信過(guò)濾網(wǎng)關(guān)系統(tǒng)防御配置

● 針對(duì) Mallox勒索病毒不斷變換特征，變種出現(xiàn)速度極快的特點(diǎn)，可深度分析檢測(cè)，精準(zhǔn)識(shí)別變種家族。

● 針對(duì)HTTP、FTP、POP3、SMTP、IMAP等常用文件傳輸協(xié)議配置深度檢測(cè)，防止病毒通過(guò)網(wǎng)關(guān)進(jìn)入內(nèi)部網(wǎng)絡(luò)，消除內(nèi)網(wǎng)終端和服務(wù)器的感染風(fēng)險(xiǎn)。

● 啟用實(shí)時(shí)檢測(cè)、告警服務(wù)。

● 升級(jí)到最新病毒特征庫(kù)，并啟用自動(dòng)更新服務(wù)。

產(chǎn)品獲取方式

天融信自適應(yīng)安全防御系統(tǒng)、天融信EDR系統(tǒng)企業(yè)版試用：可通過(guò)天融信全國(guó)分支機(jī)構(gòu)獲?。ú樵兙W(wǎng)址：http://gdxsl.cn/contact/）

天融信EDR系統(tǒng)單機(jī)版下載地址：http://edr.topsec.com.cn

天融信過(guò)濾網(wǎng)關(guān)系統(tǒng)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)等產(chǎn)品特征庫(kù)下載地址：ftp://ftp.topsec.com.cn）

TOPSEC

近幾年來(lái)，勒索攻擊事件頻繁發(fā)生，且在數(shù)量上逐年增多。天融信將始終堅(jiān)持自主創(chuàng)新與核心技術(shù)攻關(guān)，持續(xù)推出創(chuàng)新性的產(chǎn)品、服務(wù)與方案，由邊界到終端、靜態(tài)到動(dòng)態(tài)、單點(diǎn)到全域，全方位保障客戶網(wǎng)絡(luò)安全。