阿里云
服务器地域选择
发表主题 回复主题
  • 714阅读
  • 0回复

[云安全技术和产品专区 ]新型 “无文件” 勒索软件 Sorebrect 可远程注入恶意代码进行文件加密

级别: 论坛版主
发帖
183
云币
339
据外媒 6 月 16 日报道,安全研究人员近期发现一款新型 “无文件” 勒索软件 Sorebrect,允许黑客将恶意代码隐身注入目标系统中的合法进程(svchost.exe)并终止其二进制代码以规避安全机制检测,还能通过使用 wevtutil 删除受影响系统的事件日志阻碍取证分析。 o!utZmk$  
勒索软件 Sorebrect 可利用 Tor 网络匿名连接至命令与控制(C&C)服务中。与其他勒索软件不同的是,Sorebrect 专门针对各行(制造、技术与电信)企业系统注入恶意代码,以便在本地系统和共享网络中加密文件。 7 WP%J-   
HUkerV  
<raG07{!*  
研究人员注意到,勒索软件 Sorebrect 首先通过针对Windows操作系统的RDP协议暴力攻击等手段入侵管理员账户,然后利用 PsExec 命令控制系统实现文件加密处理。“虽然攻击者可以使用远程桌面协议(RDP)和 PsExec 在受影响的机器中安装 Sorebrect 恶意软件,但与使用 RDP 相比,利用 PsExec 更为简单”。趋势科技表示,PsExec 可使攻击者能够执行远程命令,而非使用交互登录会话或将恶意软件手动传输至远程机器设备。 U. (Tl>K|0  
调查显示,研究人员首次在中东国家 Kuwait 与 Lebanon 地区发现该勒索软件迹象。随后,他们于近期观察到加拿大、中国、俄罗斯与美国等国家系统也纷纷遭受勒索软件 Sorebrect 攻击。趋势科技安全专家建议用户限制 PsExec 权限、主动备份文件,实时更新系统与网络安全机制以防止黑客攻击。 Ft) lp>3gv  
Px#$uU  
 ,gmH2.  
情报来源: -;>#3 O-  
  • http://hackernews.cc/archives/11383
  • http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/
  • https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_sorebrect.a
;E#\   
H_Os4}  
?+Q$#pb  
IA2GUnUhu  
[ 此帖被正禾在2017-07-31 19:44重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 15 + 3 = ?
上一个 下一个