• 新闻
  • 安全
  • 产品展示
  • 关于Seqrite
序列博客 博客
  • 新闻
  • 安全
  • 产品展示
  • 关于Seqrite
首页  /  网络安全 • 加密 • 恶意软件 • 勒索软件 • 安全  /  Snake 勒索软件给企业网络带来了即将到来的厄运
Snake勒索软件st毒地将其毒液传播到企业网络的脉络中。
10 七月 2020

Snake 勒索软件给企业网络带来了即将到来的厄运

撰写者 Preksha Saxena
Preksha Saxena
网络安全, 加密, 恶意软件, 勒索软件, 安全
预计阅读时间: 5 分钟

一月初发现了一种新的针对性的勒索软件,称为SNAKE或EKANS。恶意软件是用Go语言编写的,并且经过大量混淆,并遵循ICS环境。 Snake 勒索软件似乎是通过有针对性的活动分发的,该活动专门针对目标企业网络-它使用AES和RSA进行加密。感染后,相关文件将被加密数据覆盖。每个修改后的文件还标有字符串“埃坎斯文件末尾的“”。

恶意软件会检查内部系统名称和公共IP地址的硬编码,在本例中,它与Honda Company有关。如果未解决对属于本田的内部域的DNS查询,它将立即退出。

技术分析:
该文件是MS Windows的PE32可执行文件,其“ .symtab”部分的导入次数较少,表示该文件已写入&用Go语言编译。

图1:部分名称

 

Various strings are found which confirms that the binary is用Go语言编译。 Below is the Go build Id.

图2:GO内部版本号

 

该恶意软件开始请求DNS解析为“ 本田网站”。本田最近遭到其技术系统的勒索软件网络攻击。因此,该示例似乎是用来破坏本田网站的示例。

图3:MDS.HONDA.COM的DNS解析

 

恶意软件解决了“本田网站”到关联的IP地址,其中还包含对美国IP地址的引用 170.108.71.15,解决为‘unspec170108.amerhonda.com‘主机名。如果DNS解析失败,则该恶意软件将中止其执行。

当恶意软件发现域名已解析后,它将通过向netsh.exe(网络工具)发送命令来更改防火墙设置。传递的命令是:

“ Netsh advfirewall设置所有配置文件防火墙策略阻止入站,阻止出站”.

该命令将使用Windows防火墙功能阻止所有与输入和输出规则不匹配的配置文件的所有传入和传出连接。

图4:用于更改防火墙设置的命令

恶意软件使用以下算法解密在恶意软件执行期间使用的所有字符串,但是,每个加密数据使用不同的XOR密钥。

下面的解密循环解密RSA公钥,该公钥将用于加密用于加密文件的每个AES密钥。

图5:解密循环

下文给出了反编译算法的代码。

图7:反编译解密循环

 

恶意软件会检查是否存在名为“ 埃坎斯”的互斥锁。如果存在,勒索软件将停止执行,并且不会感染系统。否则,将创建互斥锁,并且感染会继续前进。

它包含一个硬编码的进程和服务列表,以恶意软件的加密字符串形式出现。如果受害者系统中正在运行任何服务,勒索软件将停止该服务。另外,如果系统中有任何进程在运行,它将使用TerminateProcess()函数终止进程。下面给出了一些进程名称。

图7:一些进程名称被恶意软件解密

 

恶意软件将删除系统上找到的所有“卷影复制”备份。恶意软件会从加密中跳过文件的某些扩展名。下面提到其中一些:

.sys .mui .tmp .lnk .config .tlb .olb .blf .ico .manifest .bat .cmd .ps1等

下面提到的某些扩展已被恶意软件解密,尽管加密时未使用这些扩展。

图9:文件中提到的扩展名
图9:文件中提到的扩展名

蛇的加密过程是对称加密和非对称加密的组合,其中包括AES-256和RSA-2048。需要对称密钥才能对文件进行加密和解密。此对称密钥使用攻击者的公共密钥加密。只有使用攻击者的私钥才能解密。因此,这使得解密对于安全厂商来说是困难的或不可能的。

恶意软件使用AES CTR模式通过0x20字节的随机密钥和0x10字节的随机IV加密文件。 RSA公钥已硬编码在文件中。加密后,恶意软件会在末尾附加“ 埃坎斯”标记。 埃坎斯与SNAKE相反。

图9:使用EKANS标记的加密文件

 

加密所有文件后,恶意软件会重命名每个加密文件。它将随机的5个字符的字符串附加到文件中’的扩展名。扩展是勒索软件,因此很难通过扩展来识别勒索软件。下图显示了蛇勒索软件对文件的重命名。

图11:加密之前和之后的文件

 

结论

勒索软件也已成为个人用户和企业的永久威胁。一旦加密了任何文件,就很难解密数据。鉴于任何勒索软件可能对您的数据造成的破坏程度,您必须遵循以下建议的安全措施。

  • 使用可以阻止实时威胁的多层防病毒软件。
  • 保持最新的防病毒功能。
  • 每天都会发布关键补丁定期更新您的操作系统。
  • 保持您的软件最新。
  • 切勿将远程系统直接连接到Internet。
  • 请勿单击来自未知来源的电子邮件中的链接或下载附件。
  • 进行常规数据备份并将其保留在安全的位置。
  • 审核网关系统&检查配置是否错误。

序列产品配备了多层检测技术,例如IDS / IPS,DNA扫描,电子邮件扫描,BDS,Web保护和获得专利的反勒索软件检测。这种多层安全方法可帮助我们有效地保护客户免受此类勒索软件和其他已知未知威胁的侵害。

妥协指标

 d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1

 Previous Post“蜂蜜陷阱”行动:APT36瞄准国防组织,...
下一篇文章 黑客窃取电子商务数据库,要求以比特币作为赎金。
Preksha Saxena
关于普雷克萨克森纳

Preksha是Quick Heal 安全 Labs的安全研究员,在网络安全领域拥有6年的经验。她对逆向工程很感兴趣。

Preksha Saxena在本刊中的所有文章»

相关文章

  • 在这个假期,保护您的企业免受专门的网络攻击。

    假期的网络安全:将网络攻击的风险降至最低

    2020年12月11日
  • 加速企业数字化转型是否会导致网络威胁?

    加速企业数字化转型是否会导致网络威胁?

    2020年11月25日
  • 网络攻击渗透到IT-OT融合的格局中

    IT-OT融合为企业带来了网络安全漏洞

    2020年11月20日

没意见

发表评论。您的电子邮件地址将不会被发布。

取消回复

验证码图片
刷新图像

热门帖子

  • Thanos勒索软件通过RIPlace战术逃避反勒索软件的保护 Thanos勒索软件通过RIPlace战术逃避反勒索软件的保护 2020年11月18日
  • 在企业中拥有入侵防御/检测系统的好处 在企业中拥有入侵防御/检测系统的好处 2018年2月15日
  • 您应该采取的5项安全措施来保护您的组织’s network 您应该采取的5项安全措施来保护您的组织’s network 2017年8月11日

特色作者

  • 序列
    序列

    关注我们以获取与安全相关的最新更新和见解...

    阅读更多..
  • 维拉·塔里科特卡(Viraj Talikotkar)
    维拉·塔里科特卡(Viraj Talikotkar)

    Viraj是Quick Heal Technologies的首席技术作家。他一直在...

    阅读更多..
  • 桑杰·卡特(Sanjay Katkar)
    桑杰·卡特(Sanjay Katkar)

    桑杰·卡特(Sanjay Katkar)是...的联合董事总经理兼首席技术官

    阅读更多..

最新的帖子

  • 假期的网络安全:将网络攻击的风险降至最低

    假期的网络安全:将网络攻击的风险降至最低

    2020年12月11日
  • 网络保险可以代替网络安全吗?

    网络保险可以代替网络安全吗?

    2020年12月7日
  • 加速企业数字化转型是否会导致网络威胁?

    加速企业数字化转型是否会导致网络威胁?

    2020年11月25日

保持更新!

话题

Linux防毒软件 (10) 服务器防病毒 (9) 自带设备 (9) 网络攻击 (31) 网络攻击 (56) 网络攻击 (12) 网络安全 (270) 网络安全 (25) 网络威胁 (29) 网络威胁 (44) 数据 (10) 数据泄露 (50) 数据泄露 (27) 资料遗失 (28) 防止数据丢失 (33) 数据保护 (21) 数据安全 (13) DLP (49) 加密 (16) 端点安全 (102) 企业安全 (14) 每股收益 (9) 利用 (12) 防火墙 (11) 骇客 (9) 事件响应计划 (9) 物联网 (9) 恶意软件 (58) 恶意软件攻击 (22) 恶意软件攻击 (12) MDM (25) 移动设备管理 (9) 网络安全 (18) 补丁管理 (12) 网络钓鱼 (16) 勒索软件 (54) 勒索软件攻击 (29) 勒索软件攻击 (30) 勒索软件保护 (12) 序列 (24) 序列加密 (27) 序列 每股收益 (33) 序列服务 (16) UTM (34) 脆弱性 (10)

产品展示

  • 端点安全(EPS)
  • 序列加密管理器
  • 序列 Endpoint 安全云
  • 云端安全
  • 序列 mSuite
  • 序列 MobiSMART
  • 统一威胁管理
  • 序列安全Web网关
  • 服务器防病毒
  • Linux防毒软件

资源资源

  • 白皮书
  • 数据表
  • 威胁报告
  • 说明书
  • 实例探究

关于我们

  • 公司简介
  • 领导
  • 为什么选择SEQRITE?
  • 获奖情况& Certifications
  • 编辑部

档案

  • 按日期
  • 按类别

©2020 Quick Heal Technologies Ltd.(以前称为Quick Heal Technologies Pvt。Ltd.) Cookie政策 私隐政策

我们的网站使用cookie。 Cookies使我们能够提供最佳体验,并帮助我们了解访问者如何使用我们的网站。
浏览本网站即表示您同意我们的 Cookie政策。