危險(xiǎn)預(yù)警

近日，天融信諦聽實(shí)驗(yàn)室捕獲HelloKitty勒索家族的病毒樣本，HelloKitty勒索病毒正在利用Apache ActiveMQ遠(yuǎn)程代碼執(zhí)行（RCE）漏洞侵入網(wǎng)絡(luò)并進(jìn)行勒索攻擊。該漏洞被標(biāo)記為CVE-2023-46604，是一個(gè)高危RCE漏洞。

HelloKitty勒索病毒自2020年11月開始運(yùn)營(yíng)，最著名的攻擊是針對(duì)CD Projekt Red的攻擊，攻擊者加密設(shè)備，并聲稱竊取Cyberpunk2077、Witcher3、Gwent等源代碼。

病毒分析

該病毒利用png后綴進(jìn)行偽裝。

用偵殼軟件檢測(cè)，未檢測(cè)到殼。

根據(jù)特征判斷為msi文件，解壓，找到病毒主程序

用偵殼軟件檢測(cè)，無(wú)殼，是.NET文件。

程序核心內(nèi)容為base64轉(zhuǎn)換，保存加載運(yùn)行。

base64轉(zhuǎn)換后，看文件內(nèi)容是pe文件。

用偵殼軟件檢測(cè)，無(wú)殼，是.NET文件。

建立互斥，保證同時(shí)只運(yùn)行一個(gè)程序。

刪除卷影，同時(shí)殺死以下進(jìn)程。

獲取環(huán)境變量以及目錄的路徑。

在目錄下準(zhǔn)備建立相關(guān)文件。

RSA的密鑰。

獲取主機(jī)信息。

使用rsa將指定內(nèi)容加密。

將時(shí)間、之前獲取的主機(jī)信息以及指定內(nèi)容進(jìn)行拼接，使用rsa加密。

拼接加密后的信息寫入pubkey7.txt。

指定內(nèi)容加密后的信息寫入 show7.txt。

黑客IP和端口。

將主機(jī)信息通過(guò)get方式發(fā)送到黑客后臺(tái)。

探測(cè)本地磁盤信息。

要加密的后綴名列表。

不加密的目錄文件名列表。

符合特征后準(zhǔn)備加密，先用rsa將密鑰加密，寫入文件，使用Rijndael將文件內(nèi)容繼續(xù)加密，加密后寫入。

加密后修改后綴名。

生成勒索信。

防護(hù)建議

及時(shí)修復(fù)系統(tǒng)及應(yīng)用漏洞，降低被HelloKitty勒索軟件通過(guò)漏洞入侵的風(fēng)險(xiǎn)。

加強(qiáng)訪問(wèn)控制，關(guān)閉不必要的端口，禁用不必要的連接，降低資產(chǎn)風(fēng)險(xiǎn)暴露面。

更改系統(tǒng)及應(yīng)用使用的默認(rèn)密碼，配置高強(qiáng)度密碼認(rèn)證，并定期更新密碼，防止弱口令攻擊。

定期進(jìn)行數(shù)據(jù)備份，并將這些備份數(shù)據(jù)保存在離線環(huán)境或單獨(dú)的網(wǎng)絡(luò)中。

可安裝天融信安全產(chǎn)品加強(qiáng)防護(hù)，天融信EDR系統(tǒng)、自適應(yīng)安全防御系統(tǒng)、下一代防火墻系統(tǒng)病毒庫(kù)和僵木蠕庫(kù)、病毒過(guò)濾網(wǎng)關(guān)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)等可有效防御該勒索病毒。

天融信產(chǎn)品防御配置

● 天融信EDR系統(tǒng)防御配置

1. 通過(guò)微隔離策略加強(qiáng)訪問(wèn)控制，降低橫向感染風(fēng)險(xiǎn)；

2. 開啟文件實(shí)時(shí)監(jiān)控功能，可有效預(yù)防和查殺該勒索病毒;

3. 開啟系統(tǒng)加固功能，可有效攔截該勒索病毒對(duì)系統(tǒng)關(guān)鍵位置進(jìn)行破壞和篡改。

● 天融信自適應(yīng)安全防御系統(tǒng)防御配置

1. 通過(guò)微隔離策略加強(qiáng)訪問(wèn)控制，降低橫向感染風(fēng)險(xiǎn)；

2. 通過(guò)風(fēng)險(xiǎn)發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令，降低風(fēng)險(xiǎn)、減少資產(chǎn)暴露；

3. 開啟病毒實(shí)時(shí)監(jiān)測(cè)功能，可有效預(yù)防和查殺該勒索病毒。

● 天融信下一代防火墻系統(tǒng)防御配置

1. 升級(jí)到最新病毒特征庫(kù)，配置病毒防護(hù)策略，開啟日志記錄和報(bào)警功能；

2. 開啟僵木蠕模塊，封鎖勒索軟件的C&C服務(wù)器域名，阻止勒索軟件與其通信；

3. 通過(guò)訪問(wèn)控制策略禁用不必要的端口、服務(wù)，縮小資產(chǎn)暴露面，降低傳染風(fēng)險(xiǎn)；

4. 開啟弱口令防護(hù)、暴力破解防護(hù)功能，可有效降低口令破解風(fēng)險(xiǎn);

5. 開啟聯(lián)動(dòng)功能，獲取天融信EDR系統(tǒng)、防病毒網(wǎng)關(guān)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)等產(chǎn)品檢測(cè)結(jié)果，及時(shí)攔截傳播/感染源，控制網(wǎng)絡(luò)傳播范圍。

● 天融信病毒過(guò)濾網(wǎng)關(guān)防御配置

1. 升級(jí)到最新病毒特征庫(kù)；

2. 開啟HTTP、POP3、SMTP、FTP、IMAP等協(xié)議的病毒掃描檢測(cè)；

3. 配置病毒檢測(cè)處置策略;

4. 開啟日志記錄和報(bào)警功能。

● 天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)配置

1. 升級(jí)最新威脅情報(bào)庫(kù)，開啟威脅情報(bào)惡意文件檢測(cè)和捕獲功能，實(shí)時(shí)檢測(cè)和捕獲網(wǎng)絡(luò)中的勒索病毒；

2. 開啟威脅情報(bào)日志記錄和報(bào)警功能；

3. 可配置旁路阻斷或者與天融信下一代防火墻聯(lián)動(dòng)，攔截勒索病毒網(wǎng)絡(luò)傳播。

天融信產(chǎn)品獲取方式

天融信EDR單機(jī)版下載地址：

http://edr.topsec.com.cn

天融信自適應(yīng)安全防御系統(tǒng)、天融信EDR企業(yè)版試用：

可通過(guò)天融信各地分公司獲取查詢網(wǎng)址：http://gdxsl.cn/contact/

天融信下一代防火墻系統(tǒng)病毒庫(kù)、僵木蠕庫(kù)下載地址：

ftp://ftp.topsec.com.cn/

天融信病毒過(guò)濾網(wǎng)關(guān)系統(tǒng)病毒庫(kù)下載地址：

ftp://ftp.topsec.com.cn/防病毒網(wǎng)關(guān)(Top-Filter)/病毒庫(kù)脫機(jī)升級(jí)包/

天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測(cè)與處置系統(tǒng)威脅情報(bào)庫(kù)下載地址:

ftp://ftp.topsec.com.cn