在Sophos開始采取措施抵消攻擊之后��,上個月針對Sophos XG Firewall設備中的零日漏洞的惡意參與者試圖部署勒索軟件��。
在事件中�,Sophos將其稱為Asnarök,攻擊者針對一個以前未知的SQL注入漏洞����,以插入單行命令并下載Linux shell腳本,該腳本將執(zhí)行更多命令并刪除其他腳本����,以實現(xiàn)持久性并創(chuàng)建備份通道。
攻擊開始后不久�����,Sophos就收到了警報,并立即采取了措施��,并提供了一個補丁程序來解決在幾天之內推出的漏洞��。
安全公司透露��,攻擊者部署的文件之一將充當“僵尸交換機”���,在重新啟動或重啟后在未修補的防火墻上刪除特定文件時發(fā)起勒索軟件攻擊���。
由于部署的補丁程序可以解決漏洞并無需重新啟動即可刪除惡意代碼,因此不會觸發(fā)勒索軟件攻擊��。意識到這一點后��,對手決定更改一些以前部署的shell腳本����,甚至用勒索軟件有效負載替換其中一個。
“在這一點上�����,襲擊者旨在無需防火墻重新啟動�,但Sophos的已采取額外的步驟來干預這打亂了進攻的這個階段交付勒索軟件”的安全公司說�。
最初的利用后攻擊將以第二階段中部署的腳本之一開始�,該腳本旨在將Linux ELF二進制文件刪除到文件系統(tǒng)中�����。Sophos解釋說�����,該文件充當死人開關���,旨在從ragnarokfromasgard [�����。] com網(wǎng)站下載并執(zhí)行另一個名為patch.sh的 shell腳本���。
該腳本將執(zhí)行各種任務,包括解析防火墻的ARP緩存的內容�����,在其中存儲本地網(wǎng)絡上主機的(內部)IP和MAC地址�����。接下來,它將使用該列表掃描主機上的端口445 / tcp��,并確定它們是否可訪問Windows系統(tǒng)�����。
此外����,一個名為“ hotfix”的文件將確定計算機運行的是32位還是64位Windows,然后嘗試利用EternalBlue漏洞和DoublePulsar shellcode將DLL直接傳遞并執(zhí)行到內存中(針對explorer.exe))��。
然后���,DLL將嘗試通過HTTP端口81 / tcp 從9sg [���。] me獲取可執(zhí)行有效負載。托管域并提供修補程序有效負載的IP地址參與了追溯到2018年的攻擊��,并且與被稱為NOTROBIN的威脅參與者相關聯(lián)����。
在意識到所謂的死人開關不起作用之后,攻擊者將腳本下載替換為下載名為2own的滲透工具的腳本��,該腳本設置為下載ELF二進制文件�����,而該腳本又獲取了勒索軟件�。Sophos解釋說,這樣做是為了提高勒索軟件的攻擊順序����。
將被丟棄的勒索軟件稱為Ragnarok,它已與針對網(wǎng)絡設備的各種活動相關聯(lián)�,其中包括針對Citrix ADC服務器的一系列活動。
該安全公司還指出�,此攻擊中實施的EternalBlue漏洞利用僅適用于未修補的Windows 7版本。
“ Ragnarok是一種比其他勒索軟件更不常見的威脅����,而且看來,該威脅行為者的作案手法以及他們用來提供這種勒索軟件的工具與許多其他威脅行為者截然不同�����。Sophos總結道:“觀察到一個Linux ELF應用程序正試圖將惡意軟件跨平臺傳播到Windows計算機�����,這是一個罕見且值得注意的事件���!
經營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
