騰訊安全:GandCrab 5.2病毒再“作妖” 偽裝升級程序攻擊WinRAR用戶自2018年誕生以來,GandCrab家族在國內瘋狂擴張,逐漸成為WannaCry之后最為活躍的勒索病毒之一。在過去的一年,該病毒先后利用各種攻擊手段、多種傳播渠道對我國多個政企發起攻擊,致使多家政企機構遭受到不可逆轉的損失。 近期,騰訊安全御見威脅情報中心再次監測捕捉到,GandCrab 5.2勒索病毒利用WinRAR漏洞(CVE-2018-20250,系unacev2.dll代碼庫高危漏洞)進行攻擊案例。攻擊者疑似將病毒偽裝成升級程序,當未修復漏洞的受害者在本地計算機嘗試解壓文件后,便會觸發漏洞利用,病毒母體則被進一步釋放到啟動目錄中。一旦用戶重啟或重新登錄系統,病毒將自動運行加密用戶系統中的所有數據文件,導致數據庫文件被加密破壞,嚴重威脅企業和個人用戶的數據文件安全。
(圖:GandCrab 5.2病毒解壓時,攻擊文檔會向開機啟動目錄釋放update.exe) 據騰訊安全技術專家介紹,此次GandCrab 5.2勒索病毒攻擊目標鎖定在未修補WinRAR軟件壓縮漏洞的用戶身上。攻擊者主要利用ACE文件驗證邏輯繞過漏洞(CVE-2018-20250)進行傳播,通過誘使用戶使用WinRAR打開惡意構造的壓縮包文件,將惡意代碼寫入系統啟動目錄或者寫入惡意dll劫持其他軟件進行執行,實現對用戶主機的任意代碼執行攻擊,最終會加密系統中的多種類型文件并添加.uhymsoofa隨機擴展后綴加密文件。
(圖:勒索說明文檔 ) 今年2月21日,WinRAR系列任意代碼執行漏洞已被國家信息安全漏洞共享平臺(CNVD)收錄,并將其綜合評級為“高危”。據了解,該漏洞不僅僅存在于WinRAR 5.7之前的版本,多款支持ACE解壓操作的工具軟件均受影響。另外該漏洞系列攻擊原理已正式公開,相關WinRAR軟件等壓縮類工具廠商已升級最新版本修復該漏洞。 針對此次GandCrab 5.2勒索病毒利用漏洞攻擊事件,騰訊安全技術專家提醒,建議盡快將WinRAR軟件等壓縮類工具升級到最新版本以修復漏洞,不要輕易下載來歷不明的壓縮文件,可有效防御攻擊者入侵。 作為技術實力派的代表,GandCrab 5.2勒索病毒在安全圈素有“進攻萬花筒”的標簽。自被曝光以來,GandCrab勒索家族先后歷經幾次大版本迭代升級,在國內主要利用垃圾郵件群發、魚叉定向攻擊、網站掛馬、RDP爆破,VNC爆破、感染移動設備,并配置自動播放模式傳播等攻擊手段。此外,該家族變種類型速度極快,一般對常規的殺毒軟件具有較強的免疫性,對主流依靠特診檢測的安全產品是一個極大的挑戰。 為避免此類攻擊事件再次發生,騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業用戶,建議盡快將WinRAR軟件等壓縮類工具升級到最新版本,或手動刪除壓縮工具目錄下的unacev2.dll文件;盡量關閉不必要的端口和文件共享;采用高強度的密碼,避免使用弱口令,并定期更換密碼;對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器。 同時,騰訊安全專家建議終端以及服務器應部署專業安全防護軟件,例如在Web服務器部署騰訊云等具備專業安全防護能力的云服務,全面增強企業網絡抵御攻擊威脅的能力,以及在全網安裝御點終端安全管理系統。目前,騰訊御點終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。
(圖:騰訊御點終端安全管理系統) (責任編輯:海諾) |