360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360安全云盤
360隨身WiFi
360搜索
系統急救箱
重裝大師
勒索病毒救助
急救盤
高危漏洞免疫
360壓縮
驅動大師
魯大師
360換機助手
360清理大師Win10
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
360加固保
360貸款神器
360手機瀏覽器
360安全云盤
360免費WiFi
安全客
手機助手
安全換機
360幫幫
清理大師
省電王
360商城
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360互助
信貸管家
360攝像機云臺AI版
360攝像機小水滴AI版
360攝像機云臺變焦版
360可視門鈴
360攝像機云臺1080p
家庭防火墻V5S增強版
家庭防火墻5Pro
家庭防火墻5SV2
家庭防火墻路由器5C
360兒童手表S1
360兒童手表8X
360兒童手表P1
360兒童手表SE5
360智能健康手表
行車記錄儀M310
行車記錄儀K600
行車記錄儀G380
360行車記錄儀G600
兒童安全座椅
360掃地機器人X90
360掃地機器人T90
360掃地機器人S7
360掃地機器人S6
360掃地機器人S5
360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360隨身WiFi
360搜索
系統急救箱
重裝大師
急救盤
勒索病毒救助
360壓縮
驅動大師
魯大師
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
手機急救箱
360加固保
360貸款神器
360免費WiFi
安全客
手機助手
一鍵root
安全換機
360幫幫
信用衛士
清理大師
省電王
360商城
流量衛士
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360手機N7
360手機N6
Pro
360手機vizza
360手機N5S
360兒童手表6C
360兒童手表6W
360兒童手表SE2代
360手表SE2Plus
360老人手表
360攝像機大眾版
360安全路由器P3
360安全路由器P2
360兒童機器人
外設產品
影音娛樂
平板電腦
二手手機
二代 美猴王版
二代
美猴王領航版
標準升級版
后視鏡版
車載電器過節也不消停——TellYouThePass的“端午攻勢”
概述
隨著端午節假期的結束,大家也都逐步回到了日常的工作生活當中。而360安全大腦則監控到,就在端午節假期期間,一個熟悉的勒索病毒家族再度開啟了新一輪的“攻勢”。
根據監控記錄,本輪攻擊最早見于2024年6月8日15時左右。而隨著時間的推移,本輪的整體攻擊態勢則在緩步升溫,雖然暫未呈“爆發”態勢,但依舊不容忽視。
圖1. TellYouThePass借助CVE-2024-4577漏洞的新一輪傳播?
而促成這一輪新的勒索軟件傳播的原因,當然不是端午節假期。根據監控數據推測,引發本輪傳播的一個重要原因是CVE-2024-4577漏洞的PoC代碼在6月7日時被首度發布到了公開網絡上。
圖2. CVE-2024-4577漏洞的PoC運行錄屏?
漏洞與傳播
CVE-2024-4577漏洞
結合目前的監控數據來看,本輪攻擊的源頭是來自于一個針對PHP-CGI的參數注入攻擊漏洞,漏洞的CVE編號為“CVE-2024-4577”。根據CVE官方的記述,在帶有該漏洞的環境中,PHP-CGI模塊可能會將Windows系統傳入的參數誤識別為PHP的配置選項傳遞給正在運行的PHP程序,進而可能被惡意攻擊者利用來實現“任意代碼執行”的操作。
而目前已知受到該漏洞影響的操作系統僅為Winows系統,而受影響的PHP版本則為:
l? 版本號小于8.1.29的所有8.1版PHP
l? 版本號小于8.2.20的所有8.2版PHP
l? 版本號小于8.3.8的所有8.2版PHP
圖3. CVE官方給出的受該漏洞影響的環境?
在野攻擊傳播勒索軟件
而在6月8日時,360安全大腦便監控到了該漏洞的在野攻擊。在實際觸發的在野攻擊中,系統中的HTTP守護進程會將可觸發漏洞的參數傳遞給php-cgi程序,進而導致php-cgi.exe調起系統的cmd命令行工具運行mshta解釋器來獲取在線的遠程hta腳本(實際為vbs腳本)到本地并運行。
圖4. 360安全大腦監控到的在野攻擊進程關系樹?
而最終執行的腳本,則會釋放其中經過編碼過的惡意程序并運。這個最終被釋放到本地并被運行起來的惡意程序,便是我們陰魂不散的“老朋友”,TellYouThePass勒索軟件。至此,TellYouThePass借助這個新公開的PHP漏洞展開了又一輪的攻擊。
樣本分析
hta腳本分析
攻擊者通過漏洞成功進行參數注入后,會調用系統的mshta解釋器加載在線的hta腳本到本地執行。而經分析,該hta腳本的內容實際就是一個包裹在hta外殼下的vbs腳本。
圖5. 分析所用的dd3.hta腳本代碼片段?
該腳本會對其內置的編碼字符串先進行Base64解碼,再進行反序列化等一系列操作,最終得到一個完整的.NET程序代碼,并調用該程序中一個名稱為“U”的類來執行其勒索功能。
勒索軟件主體樣本分析
如前文所述,勒索軟件主體是一個.NET程序,而其用于實現勒索功能的主體代碼則是匯總在一個名為“U”的類中。
圖6. 勒索功能類“U”?
勒索軟件執行后,會遍歷磁盤中所有文件。其中,勒索軟件會比對掃描到的目錄名稱,并比對內置的列表中存在的35個目錄名。發現在內置列表中則會跳過這些目錄而不加密其中的文件。
圖7. 勒索軟件內置的35個“不加密”目錄名?
而在其他目錄中,勒索軟件還會識別具體文件的擴展名。如果文件擴展名不在其內置的列表中,則會直接跳過而不進行加密。不過這個列表的覆蓋面卻是非常廣泛——共有426個待加密的擴展名。
圖8. 勒索軟件內置的426個“待加密”文件擴展名?
勒索軟件對文件實施加密使用的則是較為傳統的AES加密算法。
圖9. 勒索軟件調用RijndaelManaged(AES算法)進行加密
當然,用于加密AES密鑰的,AES作為一個對稱加密算法,其密鑰自然也是需要被再次加密的。而加密AES密鑰的手法也同樣傳統——使用了內置的RSA公鑰進行加密。
圖10. 勒索軟件調用RSA公鑰對AES密鑰進行加密?
安全提醒
目前,360反勒索服務中心尚未接到來自于360客戶端用戶關于TellYouThePass本輪攻擊的反勒索申訴。
但依然提示廣大網民應確保系統中的安全防護軟件正常運行,且確保其勒索防護功能處于正常開啟狀態。
而尤其需要注意的是Windows系統中運行有PHP 8.*版本客戶端的用戶,建議立即將正在使用的PHP客戶端更新至PHP官方于6月6日發布的最新版本:8.1.29、8.2.20或8.3.8。
圖11. PHP官方發布的三個最新版本客戶端的公告
京公網安備 11000002000006號