危险预警
近日,天融信谛听实验室捕获hellokitty勒索家族的病毒样本,hellokitty勒索病毒正在利用apache activemq远程代码执行(rce)漏洞侵入网络并进行勒索攻击。该漏洞被标记为cve-2023-46604,是一个高危rce漏洞。
hellokitty勒索病毒自2020年11月开始运营,最著名的攻击是针对cd projekt red的攻击,攻击者加密设备,并声称窃取cyberpunk2077、witcher3、gwent等源代码。
病毒分析
该病毒利用png后缀进行伪装。
用侦壳软件检测,未检测到壳。
根据特征判断为msi文件,解压,找到病毒主程序
用侦壳软件检测,无壳,是.net文件。
程序核心内容为base64转换,保存加载运行。
base64转换后,看文件内容是pe文件。
用侦壳软件检测,无壳,是.net文件。
建立互斥,保证同时只运行一个程序。
删除卷影,同时杀死以下进程。
获取环境变量以及目录的路径。
在目录下准备建立相关文件。
rsa的密钥。
获取主机信息。
使用rsa将指定内容加密。
将时间、之前获取的主机信息以及指定内容进行拼接,使用rsa加密。
拼接加密后的信息写入pubkey7.txt。
指定内容加密后的信息写入 show7.txt。
黑客ip和端口。
将主机信息通过get方式发送到黑客后台。
探测本地磁盘信息。
要加密的后缀名列表。
不加密的目录文件名列表。
符合特征后准备加密,先用rsa将密钥加密,写入文件,使用rijndael将文件内容继续加密,加密后写入。
加密后修改后缀名。
生成勒索信。
防护建议
及时修复系统及应用漏洞,降低被hellokitty勒索软件通过漏洞入侵的风险。
加强访问控制,关闭不必要的端口,禁用不必要的连接,降低资产风险暴露面。
更改系统及应用使用的默认密码,配置高强度密码认证,并定期更新密码,防止弱口令攻击。
定期进行数据备份,并将这些备份数据保存在离线环境或单独的网络中。
可安装天融信安全产品加强防护,天融信edr系统、自适应安全防御系统、下一代防火墙系统病毒库和僵木蠕库、病毒过滤网关、僵尸网络木马和蠕虫监测与处置系统等可有效防御该勒索病毒。
天融信产品防御配置
● 天融信edr系统防御配置
1. 通过微隔离策略加强访问控制,降低横向感染风险;
2. 开启文件实时监控功能,可有效预防和查杀该勒索病毒;
3. 开启系统加固功能,可有效拦截该勒索病毒对系统关键位置进行破坏和篡改。
● 天融信自适应安全防御系统防御配置
1. 通过微隔离策略加强访问控制,降低横向感染风险;
2. 通过风险发现功能扫描系统是否存在相关漏洞和弱口令,降低风险、减少资产暴露;
3. 开启病毒实时监测功能,可有效预防和查杀该勒索病毒。
● 天融信下一代防火墙系统防御配置
1. 升级到最新病毒特征库,配置病毒防护策略,开启日志记录和报警功能;
2. 开启僵木蠕模块,封锁勒索软件的c&c服务器域名,阻止勒索软件与其通信;
3. 通过访问控制策略禁用不必要的端口、服务,缩小资产暴露面,降低传染风险;
4. 开启弱口令防护、暴力破解防护功能,可有效降低口令破解风险;
5. 开启联动功能,获取天融信edr系统、防病毒网关、僵尸网络木马和蠕虫监测与处置系统等产品检测结果,及时拦截传播/感染源,控制网络传播范围。
● 天融信病毒过滤网关防御配置
1. 升级到最新病毒特征库;
2. 开启http、pop3、smtp、ftp、imap等协议的病毒扫描检测;
3. 配置病毒检测处置策略;
4. 开启日志记录和报警功能。
● 天融信僵尸网络木马和蠕虫监测与处置系统配置
1. 升级最新威胁情报库,开启威胁情报恶意文件检测和捕获功能,实时检测和捕获网络中的勒索病毒;
2. 开启威胁情报日志记录和报警功能;
3. 可配置旁路阻断或者与天融信下一代防火墙联动,拦截勒索病毒网络传播。
天融信产品获取方式
天融信edr单机版下载地址:
http://edr.topsec.com.cn
天融信自适应安全防御系统、天融信edr企业版试用:
可通过天融信各地分公司获取查询网址:http://www.topsec.com.cn/contact/
天融信下一代防火墙系统病毒库、僵木蠕库下载地址:
ftp://ftp.topsec.com.cn/
天融信病毒过滤网关系统病毒库下载地址:
ftp://ftp.topsec.com.cn/防病毒网关(top-filter)/病毒库脱机升级包/
天融信僵尸网络木马和蠕虫监测与处置系统威胁情报库下载地址:
ftp://ftp.topsec.com.cn