针对互联网上出现了一种名为“WannaRen”的勒索病毒,奇安信病毒响应中心红雨滴团队发布了详细的技术分析报告,更多细节被披露。报告显示,部署了奇安信情报产品的用户并没有遭受此安全威胁,旗下的天擎杀毒软件也率先实现了对该病毒的查杀。
报告分析认为,WannaRen在被大量关注后,攻击者迅速删掉了下载勒索模块中的链接,从而试图逃避检测。安全研究人员也同时指出,记录程序运行时间的fm文件,使用了简体中文进行记录,这足以证明该病毒的作者极有可能是中国人。
“根据线索,该病毒的踪迹我们发现于4月2号天擎用户的拦截日志”,红雨滴团队分析发现,“WannaRen”会偷偷下载WINWORD.EXE和wwlib.dll两个文件,前者为微软office的正常程序,后者为病毒文件。这种典型的白加黑攻击手段极易躲过大多数杀毒软件的查杀。此外,该勒索病毒还同时兼备挖矿功能,这将导致正常文件被加密无法访问的同时,电脑还将耗费大量资源为攻击者“挖矿”牟利。
像真正的生物病毒一样,该病毒还将本身作为传染源,以传染同一内部网络的电脑。“该脚本还有一种很少见的横向移动辅助手法,该手法利用了Everything拥有的http服务器功能。首先,其会在受害器上下载aaaa.exe,并保存到C:\Users\Public\目录下,功能为释放everything并开启http服务器功能,这样在同一内网的其他受害者就可以通过该http服务器下载上面的恶意程序,从而进一步的扩散受害面。”安全专家介绍。
图:奇安信天擎拦截记录
分析发现,早在今年1月,通过攻击者的域名,奇安信病毒响应中心就已经将该域名与HideShadowMiner组织的攻击关联在一起,并将该域名置黑,因此部署相关情报产品的用户均无遭受此威胁。HideShadowMiner,国内统称为匿影组织,该组织此前一直进行挖矿攻击。同时发现,通过特征,分析人员发现匿影组织还使用了多个域名搭载同一套Powershell攻击框架发起攻击。
图:相关攻击域名在全网的访问趋势图,时间集中在近期,符合事件发生时段
“4月2日,奇安信天擎就已经检测并拦截了相关攻击行为,并且即便恶意软件已经执行,但是对应的勒索病毒模块同样被天擎查杀,因此目前奇安信用户无一中招。”奇安信安全专家表示。奇安信红雨滴团队同时提供了病毒攻击的IoC,已便于用户自查是否已经收到“WannaRen”的安全威胁:
wmi.sslsngyl90.com
cpu.sslsngyl90.com/xx.txt
cpu.sslsngyl90.com/wmi.txt
us.howappyoude.club/v.txt
cpu.goolecpuclan.xyz/vip.txt
xx.sslsngyl90.com
xx.sslsngyl90.com
wmi.sslsngyl90.com
wmi.sslsngyl90.com
d.sslsngyl90.com
d.sslsngyl90.com
cs.sslsngyl90.com
cs.sslsngyl90.com
cpu.sslsngyl90.com
cpu.sslsngyl90.com
相关恶意程序下发路径
C:\ProgramData\227.exe
C:\ProgramData\office.exe
C:\ProgramData\nb.exe
C:\ProgramData\WinRing0x64.sys
C:\ProgramData\officekms.exe
C:\ProgramData\xeexfrt.txt
C:\Users\Public\MicrosftEdgeCP.exe
C:\Users\Public\1\winlogtrf.exe
C:\ProgramData\227.txt
C:\Users\Public\ aaaa.exe
WannaRen勒索软件主体Hash
9854723bf668c0303a966f2c282f72ea
此外,奇安信分析人员特别提醒,攻击者会通过微当下载去下载APK程序,并重命名为exe文件,但这也意味着,微当下载并没有识别出该APK是恶意的PE程序并进行了放行,用户应注意从此通道下载的相关程序。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )