Mallox勒索病毒来势汹汹,天融信火速帮您防御!
危险预警 .
近日天融信谛听实验室捕获一起Mallox勒索病毒攻击事件,黑客在成功侵入内网后下发勒索病毒文件,勒索病毒运行后迅速加密数据库文件,在文件名后附加“ .consultraskey-ID号”、“.Mallox”等后缀来重命名所有加密文件,导致文件不可用,影响业务运行,同时还会尝试在内网中横向移动,获取更多设备的权限并进一步扩散,危害性极大。
Mallox勒索病毒家族又被国外称作Target Company,于2021年10月进入中国,该家族主要针对企业的Web应用发起攻击,包括Spring Boot、Weblogic、通达OA等。天融信EDR系统、自适应安全防御系统、过滤网关系统、僵尸网络木马和蠕虫监测与处置系统,以及新版本的入侵检测系统、入侵防御系统等产品均可精确检测并查杀该勒索病毒,为终端提供全面的安全防护,有效阻止该事件蔓延。
病毒分析
Mallox勒索病毒最新变种的加载器采用C#编写,函数名称严重混淆且中间添加了很多垃圾运算指令,这给沙箱自动化分析和人工逆向都带来了不小的困难。
样本运行后首先会使用Sleep方法设置随机数进行长时间睡眠,以此来规避沙箱的自动化分析。
在睡眠时间结束后,进程会解密出大小为0x4A800h大小C#编写的PE文件,该PE文件同样被混淆。
本体软件使用Invoke方法创建脱离原始进程调用链的新进程,最终会在内存中展开并运行C++和C语言编写的勒索母体,开始执行真正的恶意代码。
恶意代码先尝试从IP地址为91.243.44[.]32的服务器下载F.bat,如果服务器失活下载失败,则不会表现出后续的恶意行为而退出。
F.bat的主要功能是停止MSSQL、SQL Server、Oracle常见数据库相关的进程、服务并强制删除相关注册表,除此之外还对Kingdee ERP系统进行攻击。针对国内厂商软件,停止并结束阿里云服务、百度网盘、360浏览器医生、QQ安全防护等进程。
C++和C语言编写的勒索母体在加密过程中排除的文件后缀如下:
.lnk,.exe,.nls,.shs,.themepack,.bin,.msp,.wpx,.deskthemepack,.diagpkg,.icns,.ani,.msc,.ico,.cmd,.msu,.diagcfg,.cab,.prf,.ocx,.theme,.scr,.mod,.diangcab,.adv,.bat,.drv,.rom,.mpa,.key,.msi,.spl,.com,.hlp,.ics,.cpl,.lock,.cur,.hta,.dll,.nomedia,.sys,.rtp,.idx,.icl,.msstyles。
Mallox勒索软件在加密文件的过程中会排除包含以下字符串的文件目录。
Mallox勒索软件最终加密文件使用的是chacha20 算法,chacha20 算法是salsa20 流密码的一种变体,该对称算法可在短时间内加密主机所有文件。
通信并发送主机的主机名、域控名称及磁盘设备的型号信息。
在遍历文件进行加密时,Mallox勒索会在被加密文件的目录下释放告知信INFORMATION.txt,告知受害者文件已经被加密,并留下受害ID和黑客的联系方式。
最终勒索病毒通过执行以下cmd命令防止被加密文件的恢复:
Cmd /c bcdedit /set {current} bootstatuspolicy ignoreallfailures
Cmd /c bcdedit /set {current} recoveryenabled no
delete shadows /all /quiet
(上下滑动查看更多)
样本IOCs列表
防护建议
1、及时修复系统及应用漏洞,降低被Mallox勒索病毒通过漏洞入侵的风险。
2、加强访问控制,关闭不必要的端口,禁用不必要的连接,降低资产风险暴露面。
3、更改系统及应用使用的默认密码,配置高强度密码认证,并定期更新密码,防止弱口令攻击。
4、可安装天融信安全产品加强防护,天融信EDR系统、自适应安全防御系统、过滤网关系统等均可有效防御该勒索病毒。
左右滑动查看更多
遇到病毒不要慌
天融信马上帮您防御
1
天融信EDR系统防御配置
● 依托基因识别技术针对Mallox勒索病毒种族核心精准识别,高效解决变种问题,通过创建周期扫描任务,定时对主机进行全面清理,消除安全隐患。
● 通过微隔离策略加强访问控制,降低横向感染风险。
● 开启文件实时监控功能,可有效预防和查杀该勒索病毒。
● 开启系统加固功能,可有效拦截该勒索病毒对系统关键位置进行破坏和篡改。
2
天融信自适应安全防御系统防御配置
● 通过微隔离策略加强访问控制,降低横向感染风险。
● 通过风险发现功能扫描系统是否存在相关漏洞和弱口令,降低风险、减少资产暴露。
● 开启病毒实时监测功能,可有效预防和查杀该勒索病毒。
3
天融信过滤网关系统防御配置
● 针对 Mallox勒索病毒不断变换特征,变种出现速度极快的特点,可深度分析检测,精准识别变种家族。
● 针对HTTP、FTP、POP3、SMTP、IMAP等常用文件传输协议配置深度检测,防止病毒通过网关进入内部网络,消除内网终端和服务器的感染风险。
● 启用实时检测、告警服务。
● 升级到最新病毒特征库,并启用自动更新服务。
产品获取方式
天融信自适应安全防御系统、天融信EDR系统企业版试用:可通过天融信全国分支机构获取(查询网址:http://www.topsec.com.cn/contact/)
天融信EDR系统单机版下载地址:http://edr.topsec.com.cn
天融信过滤网关系统、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统等产品特征库下载地址:ftp://ftp.topsec.com.cn)
TOPSEC
近几年来,勒索攻击事件频繁发生,且在数量上逐年增多。作为国内首家网络安全企业,天融信将始终坚持自主创新与核心技术攻关,持续推出创新性的产品、服务与方案,由边界到终端、静态到动态、单点到全域,全方位保障客户网络安全。
相关阅读
2、TeamTNT变种挖矿木马再活跃!天融信“云+边+端”精准防御