勒索軟體武器庫「再添新軍」,Windows Server Web伺服器安全成災
近日,網路安全公司Paladion的網路安全實驗室發現了一款名為「DogHousePower」的新型勒索軟體,該軟體專門針對在Windows Server操作系統上運行的Web伺服器和資料庫伺服器,而且有趣的是,它還被託管在GitHub上。
勒索軟體分析
最開始,我們使用Hybrid Analysis VxStream沙箱和Windows虛擬機對該勒索軟體的二進位文件「2.exe」進行了分析,結果發現,DogHousePower需要通過利用Apache Struts 2中的一個已知漏洞(CVE-2017-5638)來發起攻擊,並使用Microsoft PowerShell提供勒索軟體有效載荷,來進一步下載和傳播勒索軟體。
贖金需求
贖金通知中的部分內容顯示為中文信息,很可能是被用於誤導受害者和分析人員追溯DogHousePower的真實消息來源。此外,贖金金額要求是相當於5000元人民幣的比特幣,這可能表明,DogHousePower勒索軟體針對的是亞洲或源自亞洲的人群。
根據贖金通知要求,受害人需要在3天之內向提供的地址支付5000元贖金。勒索者表示,贖金價格可以進行進一步協商,但是如果受害者在3天內未支付5000元贖金,那麼贖金金額將上升至價值6000元人民幣的比特幣,如果超過7天還未支付贖金,那麼則需要支付價值7000元人民幣的比特幣。最後,該贖金通知警告稱,如果在13天內沒有收到受害者支付的贖金,那麼其文件將永遠無法解密。
為了在付款後對文件進行解密,勒索者還提供了一個聯繫電子郵件地址(atlantis.cf@yandex.com)供受害者發送贖金、截屏以及ID信息。此外,勒索者還表示,這些被加密的文件將通過電子郵件進行解密,每封電子郵件不應超過10MB。
勒索通知中還提供了多種語言版本,其中包括英語、俄語、西班牙語以及中文等,並提供了一份「在中國如何購買比特幣」的說明文檔。
攻擊者的另一份通知中還表示,他們正在考慮允許用戶像往常一樣訪問Windows、文檔以及設置等程序。
勒索軟體家族
研究人員在對贖金通知中提供的電子郵件地址和ZCash賬戶進行研究時發現,DogHousePower很有可能是基於「.BELGIAN_COCOA」、「.MyChemicalRomance4EVER」、「LambdaLocker」、「Pickles」以及「CryPy」勒索軟體演變發展而來的。
安全建議
DogHousePower勒索軟體針對的是Apache Struts 2中的一個已知漏洞——CVE-2017-5638來發起攻擊的,所以,組織機構應該立即修補這一安全漏洞以保護其自身安全。此外,關於該勒索軟體的安全更新信息,我們也將進行追蹤報道,敬請關注!
本文翻譯自:http://www.channelpostmea.com/2017/11/05/paladion-warns-against-ransomware-doghousepower/,如若轉載,請註明原文地址: http://www.4hou.com/info/news/8354.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※小米IoT開發者大會 | 開發者和安全從業者同台交流,能碰出怎樣的火花呢?
※5500個 WordPress站點感染Keylogger,可竊取用戶名密碼和信用卡數據
※Metasploit域滲透測試全程實錄(終結篇)
※如何利用Windows Defender ATP檢測反射型DLL載入
※利用API NtQueryInformationThread和I_QueryTagInformation實現對Windows日誌監控的繞過
TAG:信息安全 |