勒索病毒Satan变种攻击,攻击Windows/Linux腾讯管家可以解密双平台
腾讯皇家威胁情报中心监控攻击者正在行使这一缺陷Lime-RAT远程控制木马通过修改设置信息或吸收远程指令,对中毒计算机进行远程控制。一、概述
自WinRAR破绽(CVE-2018-20250,系unacev2.dll自从曝光以来,许多恶意程序首先行使WinRAR破绽流传。克日,腾讯御见威胁情报中心监控攻击者恶意流传。Lime-RAT远程控制木马通过修改设置信息或吸收远程指令,对中毒计算机进行远程控制。
如果使用有缺陷的压缩/解压软件(如WinRAR打开攻击者故意组织的压缩文件时,系统将添加一个启动项,当计算机下次重启时,Lime-RAT远程控制木马运行。木马接受C2服务器(C&C缩写、远程命令和控制服务器)命令可以实现文件加密勒索、挖掘和下载其他恶意组件的效果。木马还将监控剪切板,当检测到受害者主机进行数字硬币交易时,直接更换钱包地址以获取资金。
二、剖析
1、恶意压缩包
打开压缩包(扩展名),如下:
解压压缩包会释放恶意文件WinRAR.js到指定目录
WinRAR.js文件使用多代码混淆
解密部门的关键代码如下:
WinRAR.js代码执行流程大致如下:
(1)设置启动项
(2)设定准时义务,每45分钟启动一次
(3)将WinRAR.js拷贝到Temp目录
(4)将混淆的字符串写入注册表HKCU\SOFTWARE\Microsoft\start”
(5)从注册表中读取字符串,解决混淆,获得字符串PE文件(Lime-RAT远程控制木马),执行。
2、Lime-RAT远控木马
Lime-RAT是Windows平台上简单壮大的远程木马可以发送远程指令、勒索、熏染、下载其他恶意组件等。这次发现的Lime-RAT如下图所示:
检查是否在虚拟机
设置Lime-RAT准时义务
获然获得受害者主机信息mutex
监控剪切板,发现受害者主机非法更换钱包地址
解密获取url
接见url即可获取C2地址
腾讯安全:WinRAR传播木马 可以抢劫比特币钱包
加密受害者主机信息并发送到C2
解密C2发出的指令
三、安全建议
1、将WinRAR下载地址:
32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
如果您使用其他压缩工具,请将其升级到最新版本。
2、直接删除WinRAR在安装目录下UNACEV2.DLL文件,但会造成ACE不能使用文件(事实上,每个人都可以完全放弃)ace花样压缩文件,拥有ace花样专利公司已倒闭十多年)。
3、打开腾讯电脑管家的实时珍爱,防止可能的病毒攻击。
四、IOCs
IP
194.5.97.145
194.5.98.170
DOMAIN
holydns.warzonedns.com
MD5
a557414fa6e7e086fd7b4d0aca4aab0e
15977cdf04cb02fe0f29f1d282a7a5a6
42e14de347bac9ec8a78da00964d13bf
2b0b8fe24ef2e55c4957649f2294499b
1a443c2fee7c2032549bdefc98f0e9e0
807dce80efc499c9cb752a83299e3254
d9605700f846aaf6935cc45b0dabed40
0627c18aa48366c4411acaf85b491ed8
URL
https://pastebin.com/raw/yLKyg31X
Nitol僵尸网络拓展新业务:疯狂点击广告刷量