![](http://5858jm.com/2.jpg)
![](http://5858jm.com/2.jpg)
【情况概况】
新型冠状病感染的肺炎疫情发生后,安天推出重大社会事件网络安全应急值班制度。截至2月18日,安天CERT正在利用与COVID-19疫情相关的信息发现并追踪众多网络攻击案例,攻击者正在利用与COVID-19疫情相关的信息传播勒索软件、挖掘木马、创建远程控制后门。它传播开来。进行网络攻击的恶意代码。相关情况及时向国家和地方有关部门通报,并发布部分信息汇总,增强政商客户和公众的防范意识。
【情况调查研判】
安天发现并跟踪的案例中,不涉及新的先进技术或零日漏洞。其主要特点是利用疫情期间大家对最新信息的高度兴趣,以内容引诱,利用钓鱼等方式进行渗透,扩散勒索软件、木马、远程控制后门等。考虑到目前的情况,从技术上判断,不存在恶意网络代码传播的迹象。
[威胁摘要]
近期相关案例技术特征分布
图疫情防控期间不同类型安全事件映射到ATTCK
【防范措施】
疫情防控期间给一线检疫机构、安全机构的四点便捷建议
1.【仅限民航】工作时间内,请注意近期不要将工作电脑用于工作以外的用途。避免浏览社交媒体,尤其是当它是您的主要沟通来源时。
2.【不懂请勿阅读】请勿打开来源不明的内容。包括链接地址、文件、照片、电子邮件中的附件、短信中的短链接等。
3.【每日备份】及时备份您的重要文件。您可以考虑每天备份或移交时备份。备份对于防止勒索软件非常有效,勒索软件很可能在不久的将来造成直接损失。
4.【向专家寻求帮助】向IT专家或网络安全专家寻求帮助
针对相关一线IT支撑人员的其他基础技术建议还包括针对个人用户、政府和企业用户的防护建议。有关更多详细信息,请参阅文章的第二部分。
【其他概况】
利用社交热点是社会工程攻击的常见手段,公共卫生事件也经常被利用。历史上,通过人气传播恶意软件的事件屡见不鲜,例如,2014年,有犯罪组织利用埃博拉病信息进行“”,针对关注埃博拉病的用户发起钓鱼邮件攻击。2015年,网络攻击者利用中东传播病信息,韩国出现综合症并发起网络攻击。这些事件往往利用用户对疫情的焦虑情绪盲目点击各种信息、疫情防控应对中网络安全防护功能难以及时有效跟进、SOHO缺乏足够的安全保障等因素。使用点。厨房。
未来,这些威胁事件和恶意软件将会不断增加。本报告公开了相关恶意软件特征和预防示例功能。安天应急团队正在全天候工作,通过改善网络保护和提供网络空间安全来帮助用户战胜COVID-19大流行。
1利用COVID-19大流行对社会传播样本进行分析
安天CERT检测到多起利用新冠肺炎疫情相关热词传播恶意软件的事件,攻击者利用新冠肺炎疫情相关信息将恶意软件文件重命名为“冠状病”、“冠状病”,伪装成“建筑物列表”。“菲律宾Exe”称“全国5人因新型冠状病肺炎死亡,小心!”“exe”等热门帖子不断涌入,鼓励用户涌入该网站。下面我们通过一些案例进行分析和说明。
11
勒索软件事件
安天CERT发现了两起利用与COVID-19大流行相关信息的勒索软件事件Dharma/Crysis勒索软件系列和CXK_NMSL勒索软件。Dharma/Crysis勒索软件家族于2016年开始利用社交热点获取信息和电子邮件联系信息进行传播,版本和变种不断重复出现。在本次事件中,Dharma/Crysis勒索软件家族变种使用了与COVID-19大流行相关的信息。它通过利用钓鱼邮件信息进行RDP暴力破解等方式进行传播,并使用“coronavirusqqcom”作为联系邮箱。CXK_NMSL勒索软件于2019年7月首次发现,现已更新至v33版本。该程序是欺骗性勒索软件。该变种利用“来自中国武汉的印度旅客信息xlsxexe”文件进行传播,并使用相应的解码工具对其进行解密。
111Dharma/Crysis勒索病利用疫情信息进行传播。
Dharma/Crysis勒索软件于2016年首次发现,至今仍持续活跃,其传播方式主要有三种1.通过包含恶意文件的垃圾邮件进行传播,2.安装程序和可正常下载的程序攻击软件为了传播勒索软件,3对远程桌面协议凭据发起有针对性的攻击以进行传播。
Dharma/Crysis勒索软件样本标签
恶意代号
木马/Win32Occamy
原始文件名
示例执行文件
MD5
055d1462f66a350d9886542d4d79bc2b
文件大小
101MB1,062,912字节
文件格式
BinExecute/MicrosoftEXE[:X86]
时间戳
2020-02-1307:09:33
VT测试结果
45/71
图1-1加密文件后缀及勒索信息文本内容
图1-2勒索信内容
攻击者以与疫情相关的信息为传播内容,在勒索信中,攻击者使用“coronavirusqqcom”作为联系邮箱,“coronavirus”中文译为“冠状病”。加密文件使用“ncov”作为联系电子邮件。后缀。勒索软件在执行后会删除文件的卷影副本,以防止受害者从备份中恢复文件。它使用强大的“AES+RSA”加密算法来加密存储在您计算机上的文件。加密完成后,勒索软件会创建勒索字条和勒索字条,要求受害者联系电子邮件并支付高额赎金才能恢复加密文件。加密后,勒索软件会影响用户的关键业务运营,如果攻击者手中没有私钥,则无法解密。
112CXK_NMSL勒索软件利用传染病信息进行传播。
CXK_NMSL勒索软件于2019年7月首次发现,经行为分析,确定为欺骗性勒索软件,该勒索软件以包含新型冠状病疫情信息的文件形式进行传播。解码工具.
CXK_NMSL勒索软件样本标签
恶意代号
木马/RansomFilecoder
原始文件名
从中国武汉到印度的旅客信息xlsxexe
MD5
7f1f36b06f7839bd791da65bd5db59b3
处理器架构
Intel386或更高版本及兼容设备
文件大小
572MB5,994,237字节
文件格式
BinExecute/MicrosoftEXE[:X86]
时间戳
1972年12月25日13:33:23
电子签名
不存在
包装类型
阿斯帕克
编译语言
微软视觉C++
VT首次上传时间
2020-02-0906:05:49
VT测试结果
51/71
解压该样本后,您将看到“2020110-2020123中国武汉至印度的旅客信息xlsxexe”,其中包含“中国武汉至印度的旅客信息”字样。它利用疫情期间的人流来吸引注意力,并导致Windows系统默认隐藏已知的文件扩展名。该函数伪装成电子表格文件进行分发。双击该程序时,会出现以下提示框。
图1-3提示框内容
程序运行时,几乎所有类型的文件都会被加密,并在原始文件名上添加后缀“cxk_nmsl”。
图1-4加密文件后缀
该程序是一个恶搞勒索软件,使用相应的解码工具即可解密。
12
远程控制后门事件
安天CERT检测到多个利用传染病流行进行传播的远程控制木马。远程控制木马通常可以实施高风险操作,例如设备文件管理、键盘记录、远程桌面控制、系统管理、视频观看、语音监控以及从受控系统下载其他恶意代码。
121Farfli遥控事件
该程序使用伪装成“菲律宾新冠病ListExe”的诱饵文件名进行传播,受影响用户的计算机完全被攻击者控制。该远程控制木马是Farfli远程控制木马家族的变种。Farfli家族木马最近一次出现是在2007-2008年左右,作者以某种方式将源代码开源到了互联网上,结果各个攻击团体根据源代码想出了很多变种,Farfli木马家族已经达到了“泛滥”和“灾难”的境地。安天在2018年对该恶意软件家族进行了详细的威胁描述和全面的态势分析。
标签示例
恶意代号
后门Win32Farfliaudj
原始文件名
菲律宾各建筑物的冠状病列表exe
MD5
87ad582f478099a6d98bf4b2527d0175
处理器架构
Intel386或更高版本及兼容设备
文件大小
19600KB200704字节
文件格式
BinExecute/MicrosoftEXE[:X86]
时间戳
2020-01-2009:16:22
电子签名
不存在
包装类型
不存在
编译语言
微软VisualC++60
VT首次上传时间
2020-02-05
VT测试结果
52/71
远程C214392:2020。
第122章大灰狼遥控事件
该恶意软件使用伪装成“新型冠状病肺炎病例,全国5例死亡,小心!exe”的诱饵文件名进行传播,受害者的计算机完全被攻击者控制。安天CERT分析人员认定,该远程控制木马是“大灰狼”远程控制木马的变种。它是一款比较流行的远程控制工具,由于代码被黑开源共享,受到很多攻击组织的攻击。几个变体被改造并发布。
标签示例
恶意代号
木马【后门】/Win32Farfli
原始文件名
全国已有5名新冠肺炎患者死亡。EXE文件
MD5
a30391c51e0f2e57aa38bbe079c64e26
处理器架构
Intel386或更高版本及兼容设备
文件大小
163MB1,712,252字节
文件格式
BinExecute/MicrosoftEXE[:X86]
时间戳
2020-01-2009:16:22
电子签名
不存在
包装类型
不存在
编译语言
微软VisualBasicv50
VT首次上传时间
2020-01-27
VT测试结果
42/71
13
如果诸位网友还想知道更多的铜豌豆glfut疫情和铜豌豆的作品相关的详细内容,记得订阅收藏本站。
发表评论