| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> RDP服务针对性攻击、钓鱼邮件攻击和勒索病毒家族Phobos研究 -> 正文阅读 |
|
[网络协议]RDP服务针对性攻击、钓鱼邮件攻击和勒索病毒家族Phobos研究 |
第一部分 RDP服务针对性攻击、钓鱼邮件攻击????????Phobos勒索软件家族于2019年初被发现,并不断更新病毒变种。此变种最早于2019年9月末被发现,其传播方式主要为RDP暴力破解和钓鱼邮件。此勒索软件变种使用“RSA+AES”算法加密文件,暂时没有解密工具。程序运行后不仅加密文档文件还会加密可执行文件,并在加密后创建两种类型的勒索信,一种为txt格式,另一种为hta格式。Phobos勒索软件家族在全球多个行业扩散,感染面积大,变种更新频繁。 一、RDP服务针对性攻击(一)RDP密码爆破RDP登录无封禁措施,无双因子认证,是密码爆破的绝佳目标。 爆破密码有太多的工具可以使用,比如hydry、御剑等等。 ?https://github.com/shack2/SNETCracker/releaseshttps://github.com/shack2/SNETCracker/releases (二)CVE-2019-0708【漏洞情况】 2019年5月14日,微软发布了针对远程桌面服务的关键远程执行代码漏洞CVE-2019-0708的补丁,该漏洞影响某些旧版本的windows。攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作。这意味着,存在漏洞的计算机只要联网,无需任何操作,就可能遭遇黑客远程攻击,运行恶意代码。其方式与2017年的 WannaCry恶意软件的传播方式类似.成功利用此漏洞的攻击者可以在目标系统完成安装应用程序,查看、更改或删除数据,创建完全访问权限的新账户等操作。 【漏洞影响】 该漏洞影响旧版本的Windows系统,包括: 【影响方式】 CVE-2019-0708漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击。该漏洞是通过检查用户的身份认证,导致可以绕过认证,不用任何的交互,直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用,会导致服务器入侵,中病毒,像WannaCry 永恒之蓝漏洞一样大规模的感染。 集中渗透利用1.Fofa语法 port="3389" ?2.使用Goby 3.漏洞结果? ?(1)弱口令漏洞 ? ? ? ? 不做复现了,直接登录即可。phobos家族的幕后人就是登录然后远程操作。 (2)MSF进行CVE-2017-0708漏洞利用 ? ? ? ? 示例:
二、钓鱼攻击????????网络钓鱼是一种社会工程攻击,通常用于窃取用户数据,包括登录凭据和信用卡号。当攻击者伪装成受信任的实体,欺骗受害者打开电子邮件、即时消息或文本消息时,就会发生这种情况。然后,收件人会被诱骗点击恶意链接,这可能会导致安装恶意软件、作为勒索软件攻击的一部分冻结系统或泄露敏感信息。 ? ? ? ? 介绍一款工具:https://github.com/SteveD3/kit_hunterhttps://github.com/SteveD3/kit_hunter? ? ? ? 这块了解一下即可(非常不建议实操),重在提高自己的安全意识,抵抗入侵者的恶意钓鱼攻击。 第二部分 勒索病毒家族Phobos?一、病毒介绍????????据 360 发布的《2020年勒索病毒疫情分析报告》,当前勒索病毒威胁手段越发多样,且在利益驱使下越发诡诈。在勒索病毒家族流行度占比方面,以希腊恐惧之神命名的 phobos 勒索病毒家族居于威胁榜首。 ????????Phobos 主要针对企业,采用“久经考验”的策略来渗透系统。它以勒索软件即服务(RaaS)包的形式在黑市出售。也就是说,没有任何技术知识的犯罪分子也可以借助于工具包创建自己的勒索软件变种,并对他们的目标发起攻击。 二、样本分析(一)情况介绍???????? ? (二)样本逆向1.放入IDA分析样本: ?2.顺着流程往下看,观察到自启动措施。将自身复制到”%LocalAppData%”目录下,将新路径添加到注册表自启动项中,另外还将复制自身到自启动目录下实现开机自启动。 ? ?其中,copyfile是C++的一种函数,原型为BOOL CopyFile,返回值为BOOL,非零表示成功,零表示失败,程序例“CopyFile("C:\\File1.txt","C:\\File2.txt",TRUE)”。 RegOpenKeyEx():函数功能描述:打开一个指定的注册表键。 并进行注册表修改/启动项设置: ????????病毒在执行时还会检查当前所属进程的执行权限。如果当前进程非管理员权限,则以管理员权限方式重新启动自身。 ?3.关闭防火墙 在函数4021E5中,接收指令对防火墙进行关闭 ?Phobos中的敏感字符串通过AES对称加密算法加密处理过,使用时使用内置32字节密钥和0初始向量进行CBC模式解密。
4.关闭指定进程 5.?搜索文件进行加密 ?(2)搜索本地资源时,对所有磁盘进行遍历搜寻。 ???????? ?病毒会对搜索到的文件进行过滤,以避免加密自身释放的文件以及一些系统正常运行不可少的相关文件或程序,并且会对一些特殊目标匹配并进行标记,对这类文件进行全部加密。 6.文件加密 这边我们参考360的文章: 加密前,病毒会获取系统磁盘的序列号xxxxxxxx,为待加密文件生成特定后缀名”.id[xxxxxxxx-2325].[zax4444@qq.com].Banta”。
加密结果共128字节,接着为其计算crc32校验值,在进行文件加密时将进行校验,以免加密文件时错用AES对称密钥。
(1) 全加密方式,首先创建一个新文件,以待加密文件名拼接上加密文件特定后缀名命名。接着依次读取待加密文件中指定大小内容到内存,并使用AES随机密钥和随机初始变量(16字节)进行CBC模式加密(初始变量IV每个文件都不一致,同样是以时间为因子和SHA256摘要算法获取的随机值),加密内容依次写入新创建文件。
其中包括原文件名在内的前64字节使用相同的AES密钥和初始向量加密。
? ? |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/29 11:09:32- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |