背景 近期,腾讯安全御见威胁情报中心监测到Pardise(天堂)勒索病毒呈小范围爆发。此次攻击中,黑客通过在色情网站某些页面中嵌入带有CVE-2018-4878 Flash漏洞攻击代码的SWF文件,当网民访问色情网站时,触发恶意代码,导致电脑被勒索病毒感染,中毒用户会被勒索比特币。 攻击者使用的漏洞工具威胁低版本Adobe{过}{滤}Flash Player的用户,漏洞触发后会执行Shellcode,并通过Shellcode加载Pardise勒索病毒变种(被加密文件的文件后辍被修改为NewCore)。该病毒检测到用户为俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦等国家时不会加密用户文件。 腾讯安全专家建议用户使用腾讯电脑管家或腾讯御点修复漏洞安装补丁,避免因本机Flash Player版本过低导致网页挂马攻击。同时,建议用户在浏览某些高风险网站时,确保安全软件处于开启状态。 详细分析1.传播方式在访问某色情网站某个页面时,Flash文件A10JFUX5.swf(8位随机名)被请求加载执行 A10JFUX5.swf包含进行构造的CVE-2018-4878漏洞利用代码,漏洞位于Flash的com.adobe.tvsdk包中,是一个UAF漏洞,需要借助强制GC或者刷新页面来触发该漏洞,漏洞影响Flash Player 版本28.0.0.137以及之前的所有版本。 漏洞主要POC代码在“_-h”类中,利用漏洞后执行的Shellcode在二进制数据“Binary 1”中,该恶意Flash文件结构如下: 主要漏洞利用代码: 其中var_16是一个继承自DRMOperationCompleteListener类的对象,将该对象注册为MediaPlayer对象的一个通知回调接口,然后释放该对象。但此时在MediaPlayer对象中仍然保存着该对象var_16,当强制系统进行垃圾回收时MediaPlayer对象的回调执行已经被释放的var_16,从而导致了UAF漏洞。 2.勒索病毒Flash漏洞攻击执行Shellcode植入勒索病毒母体rad252BC.tmp.exe,完整路径为 C:\Users\[guid]\AppData\Local\Temp\rad252BC.tmp.exe 母体运行后将自身和勒索信息相关文件拷贝到启动目录下面,文件名为生成随机字符串 动态获取CreateToolhelp32Snapshot等函数地址 通过VirtualAlloc申请内存,解密核心Payload的PE文件,并将解密后的代码布置到0x400000之后的内存中,随后跳转至0x4030D0执行 通过GetUserDefaultLangID获取操作系统语言,如果操作系统语言为:0x419 俄罗斯、0x43f 哈萨克、0x423 白俄罗斯、0x422 乌克兰、0x447 古吉拉特邦,则执行ping 127.0.0.1命令,并删除自身 关闭系统自带防护软件Windows Defender 遍历磁盘目录,创建线程对文件进行加密 文件加密流程如下 生成勒索提示txt文本 (-=###_INFO_you_FILE_###=-.txt) 删除卷影 弹出勒索提示文本 弹出勒索提示窗口 安全建议1、及时升级Adobe{过}{滤}FlashPlayer到高版本,根据Adobe官方公告采取其他缓解措施。 https://helpx.adobe.com/security/products/flash-player/apsa18-01.html 2、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 3、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 4、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 5、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 6、对重要文件和数据(数据库等数据)进行定期非本地备份。 7、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 8、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 9、个人用户打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs4fa43ed5cccd1ed0af1f07de7f5bb92d d2585eb85a2f38765279f3eced4f1642 参考链接: https://www.secpulse.com/archives/102159.html
|