Deprecated: Creation of dynamic property db::$querynum is deprecated in /www/wwwroot/sdtaoyi.com/inc/func.php on line 1413

Deprecated: Creation of dynamic property db::$database is deprecated in /www/wwwroot/sdtaoyi.com/inc/func.php on line 1414

Deprecated: Creation of dynamic property db::$Stmt is deprecated in /www/wwwroot/sdtaoyi.com/inc/func.php on line 1453

Deprecated: Creation of dynamic property db::$Sql is deprecated in /www/wwwroot/sdtaoyi.com/inc/func.php on line 1454
 运用VPN设备缝隙侵略!新式勒索软件CACTUS进犯方法剖析_客户案例_天博克罗地亚官网-天博克罗地亚首页
当前位置: 首页 > 客户案例

运用VPN设备缝隙侵略!新式勒索软件CACTUS进犯方法剖析

作者:天博克罗地亚  时间:2024-09-06 07:33:32

  近期,亚信安全应急呼应中心截获了运用VPN设备已知缝隙传达的新式勒索软件CACTUS,该勒索于2023年3月初次被发现,从始至终保持着活泼状况。CACTUS勒索软件经过Fortinet VPN的已知缝隙进行侵略(黑客首要获取到VPN账号,再经过VPN服务器侵略到安排内部),获取初始拜访权限。随后,勒索团伙会运用互联网扫描,远控软件和RDP暴力破解在内网横向移动,盗取被害者的重要信息,并将盗取的信息传输到云存储中。最终,勒索团伙对被害机器进行勒索投毒。

  在内网横向移动阶段,该勒索团伙运用Netscan、PSnmap的修正版别对域内机器进行网络扫描。运用PowerShell指令来枚举端点,在Windows事情检查器中检查成功登录来辨认用户帐户,并ping长途主机。除此之外,勒索团伙还运用各种合法东西及长途软件对被害者机器来操控,例如Splashtop、 AnyDesk、SuperOps RMM、Cobalt Strike和根据Go的署理东西Chisel。别的, 该勒索还经过RDP暴力破解获取内网拜访权限。

  获取到内网机器的拜访权限后,勒索团伙首要会盗取被害者的灵敏信息,并运用Rclone等常见东西将盗取的信息传输到云存储中,然后再进行手动投毒。在勒索阶段,勒索团伙会要挟用户,假如不交纳赎金,将会走漏盗取到的数据。在数据加密及数据走漏两层要挟下,用户交纳赎金的概率将会进步。

  CACTUS勒索与以往勒索软件相比较,其最大不同之处是运用7-Zip进行防护躲避。CACTUS 勒索软件运用批处理脚本提取 7-Zip加密维护的勒索软件二进制文件,然后在履行有用负载之前删去 .7z文件。CACTUS勒索软件在加密前会初始化AES密钥以及OpenSSL库,经过OpenSSL库供给加密服务。其还经过创立计划任务到达耐久化加密文件意图。在加密过程中,混合运用了 AES 和 RSA 算法,其间,运用 AES 算法对文件数据来进行加密,并将加密后的数据写入文件中,然后运用 RSA 公钥对随机生成的加密密钥进行加密,并在文件夹中留下勒索信息阐明文件。为避免受害者经过备份康复数据,其会删去卷影副本。

  该勒索首要履行bat脚本,将test.7z压缩包解压,并将勒索软件复制到C:\windows\目录下,经过脚本中的指令行参数运转,并履行后续加密操作:

  其将废物数据混杂的十六进制编码装备文件写入 C:\ProgramData\ntuser.dat,其间包括原始 exe 的途径,这是一个 base64 字符串,包括勒索软件运转的相关装备。经过将每个双字符字节表明的对齐方法推出一个字符来进一步混杂处理十六进制字符串:

  ●亚信安全病毒码版别18.939.60,云病毒码版别18.939.71,全球码版别18.939.00已能检测该勒索软件中对外揭露的样本,请用户及时晋级病毒码版别。

  ●亚信安全梦蝶防病毒引擎能够检测该勒索软件,可检测的病毒码版别为1.6.0.194

  ●请注意备份重要文档。备份的最佳做法是采纳3-2-1规矩,即至少做三个副本,用两种不同格局保存,并将副本放在异地存储