天创培训:您身边的信息安全培训专家!
开班计划
CISP-PTE渗透测试工程师7月班
主讲老师   张老师、高老师等
开课时间   2019年7月22日-30日
培训方式   实地/面授
授课天次   9天
上课时间   09:00 -- 17:00
课程介绍 在线报名
2019年7月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2019年7月16日-21日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

不需要受害者点击钓鱼链接的勒索软件:Sodin

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2019-07-10  关键词:勒索软件,钓鱼链接


  俄罗斯卡巴斯基实验室的研究人员表示,他们发现了一名为 “Sodin” 的新型勒索软件,利用了去年 8 月他们向微软报告的 Windows 漏洞 (编号:CVE-2018-8453),展现了一系列不同寻常的技术。

  勒索软件

  Sodin 利用 win32k.sys 在受感染的系统中提升权限,并利用中央处理器 (CPU) 的架构来避免检测——这种功能以及以下下文介绍的其他特性在勒索软件中并不常见。

  

  Sodin 勒索软件不需要受害者点击钓鱼链接。

  

  相反,它的开发人员/用户通常会找到一个易受攻击的服务器,并发送命令下载一个名为 “radm.exe” 的恶意文件。这个 Windows 漏洞于 2018 年 10 月 10 日被修复。对于那些没有给系统安装补丁的人来说,勒索软件的出现再次提醒了他们,无论遇到了什么挑战,都应该优先更新补丁。

  

  该恶意软件比通常更难检测到,是因为它使用了 “Heaven’s Gate”(天堂之门)技术,使其能在 32 位运行进程中执行 64 位的代码。

  勒索软件

  由 32 位和 64 位指令构成的 shellcode

  

  Sodin 还通过混合方案来加密受害者文件(文件内容使用 Salsa20 对称流算法加密,密钥则通过非对称椭圆曲线算法加密)。

  

  卡巴斯基表示,这个恶意软件似乎是 RaaS(勒索软件即服务)计划的一部分。

  

  该公司的一位发言人解释道:有迹象表明,恶意软件是在一个联盟内部分发传播的。比如恶意软件的开发人员在恶意软件上留下了一个漏洞,能够使他们在不被联盟成员察觉的情况下解密文件:一个不需要供应商的密钥进行解密的 “万能钥匙”(通常供应商的密钥会用于解密受害者的文件,是支付赎金的对象)。

  

  Sodin 勒索软件的大多数目标都在亚洲地区:尤其是台湾、香港和韩国。然而,在欧洲、北美和拉丁美洲也发现了攻击事件。勒索软件在受到感染的个人电脑上留下了便笺,要求每位受害者提供价值 2500 美元的比特币。

  

  研究人员认为,Sodin 使用了 Heaven’s Gate 技术来绕过仿真检测。仿真网络入侵检测系统旨在通过临时创建与样本交互的对象,然后分析交互行为来检测网络流量中的 shellcode,这有点像一个超轻量级的沙箱。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000