安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
黑客试图在针对Sophos防火墙的攻击中部署勒索软件
2020-05-22 20:38:01 【

在Sophos开始采取措施抵消攻击之后,上个月针对Sophos XG Firewall设备中的零日漏洞的恶意参与者试图部署勒索软件。

在事件中,Sophos将其称为Asnarök,攻击者针对一个以前未知的SQL注入漏洞,以插入单行命令并下载Linux shell脚本,该脚本将执行更多命令并删除其他脚本,以实现持久性并创建备份通道。

攻击开始后不久,Sophos就收到了警报,并立即采取了措施,并提供了一个补丁程序来解决在几天之内推出的漏洞。

安全公司透露,攻击者部署的文件之一将充当“僵尸交换机”,在重新启动或重启后在未修补的防火墙上删除特定文件时发起勒索软件攻击。

由于部署的补丁程序可以解决漏洞并无需重新启动即可删除恶意代码,因此不会触发勒索软件攻击。意识到这一点后,对手决定更改一些以前部署的shell脚本,甚至用勒索软件有效负载替换其中一个。

“在这一点上,袭击者旨在无需防火墙重新启动,但Sophos的已采取额外的步骤来干预这打乱了进攻的这个阶段交付勒索软件”的安全公司

最初的利用后攻击将以第二阶段中部署的脚本之一开始,该脚本旨在将Linux ELF二进制文件删除到文件系统中。Sophos解释说,该文件充当死人开关,旨在ragnarokfromasgard [。] com网站下载并执行另一个名为patch.sh的 shell脚本

该脚本将执行各种任务,包括解析防火墙的ARP缓存的内容,在其中存储本地网络上主机的(内部)IP和MAC地址。接下来,它将使用该列表扫描主机上的端口445 / tcp,并确定它们是否可访问Windows系统。

此外,一个名为“ hotfix”的文件将确定计算机运行的是32位还是64位Windows,然后尝试利用EternalBlue漏洞和DoublePulsar shellcode将DLL直接传递并执行到内存中(针对explorer.exe))。

然后,DLL将尝试通过HTTP端口81 / tcp 9sg [。] me获取可执行有效负载托管域并提供修补程序有效负载的IP地址参与了追溯到2018年的攻击,并且与被称为NOTROBIN的威胁参与者相关联

在意识到所谓的死人开关不起作用之后,攻击者将脚本下载替换为下载名为2own的渗透工具的脚本,该脚本设置为下载ELF二进制文件,而该脚本又获取了勒索软件。Sophos解释说,这样做是为了提高勒索软件的攻击顺序。

将被丢弃的勒索软件称为Ragnarok,它已与针对网络设备的各种活动相关联,其中包括针对Citrix ADC服务器的一系列活动

该安全公司还指出,此攻击中实施的EternalBlue漏洞利用仅适用于未修补的Windows 7版本。

“ Ragnarok是一种比其他勒索软件更不常见的威胁,而且看来,该威胁行为者的作案手法以及他们用来提供这种勒索软件的工具与许多其他威胁行为者截然不同。Sophos总结道:“观察到一个Linux ELF应用程序正试图将恶意软件跨平台传播到Windows计算机,这是一个罕见且值得注意的事件。”


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇免费的ImmuniWeb工具可让检查暗网.. 下一篇当心来自未知号码的呼叫-此顶级消..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800