欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频

P2Pinfect僵尸網絡部署勒索及挖礦軟件

2024-08-20 18:25:27
我要分享


微信掃碼分享

概述

近期，360安全大腦收到用戶反饋稱遭到了勒索軟件攻擊。但與通常的反饋不同的是，該用戶反饋遭到勒索攻擊的設備并非其用于辦公或娛樂的電腦，而是家中的NAS設備。此類反饋的絕對數量雖然不多，但相較于幾年前勒索軟件野蠻擴張的時期，此類特殊設備或非常見系統遭到勒索軟件攻擊的反饋在全部反饋中的占比也有著較為明顯的增加。

圖1. 被加密的NAS設備?

利用360云端大數據進行排查，我們最終將用戶反饋的此次攻擊的源頭鎖定到了一個名為P2Pinfect的僵尸網絡上。該勒索軟件正是P2Pinfect僵尸網絡所釋放的新型攻擊載荷之一。

攻擊說明

P2Pinfect的主體程序是一個網絡蠕蟲，具有網絡入侵能力。其主要的入侵途徑為Redis數據庫，入侵成功后會利用Redis進一步執行更多功能命令。

圖2. 入侵Redis 數據庫?

此外，如果Redis這條路“走不通”，蠕蟲也會利用內置的弱口令庫進行對更多常見程序進行弱口令暴力破解攻擊，不斷使用常見口令嘗試登錄各類常用網絡服務，而一旦任何一個嘗試成功，便可以進入對應設備中進行進一步操作。

圖3. 其他弱口令暴力破解攻擊?

而無論通過何種途徑，在入侵成功后蠕蟲主體會通過添加登錄密鑰以及修改cron等方式實現長期駐留，并為后續的隨時訪問鋪路。

完成準備工作后，其會釋放兩種攻擊載荷。其一是一款挖礦程序，該程序相對比較常規，是通過開源代碼編譯的XMRig礦機。而根據360云端大數據關聯到的相關礦機樣本的版本為6.19.2，基本信息如下。

圖4. 挖礦程序基本信息?

不過在用戶的設備中并未發現活躍的挖礦程序，這可能與NAS設備本身相對較弱的配置有關，利用此類設備挖礦的收益并不高。

另一個釋放的樣本，便是此次反饋用戶所遭遇的勒索軟件。勒索軟件開始執行后，會首先檢查位于系統臨時目錄下的/tmp/rsagen文件。該文件既是加密程序同時又是解密程序，勒索軟件會要求用戶保留該程序以及其生成的一個名為“[隨即名稱].lockedfiles”的數據庫，并聲稱會在受害者支付贖金之后使用這兩個文件配合來解密數據。

勒索軟件本身的主體加密功能則相對較為常規，是非對稱加密+對稱加密的雙重加密算法。即遍歷目錄后使用AES對稱加密算法加密文件，再通過Salsa20非對稱加密算法對AES的密鑰進行加密。這樣可以在兼顧加密效率的前提下，同時有效的保證加密力度，屬于目前主流勒索軟件的成熟加密方案。

最終，勒索軟件會在設備中留下名為“Your data has been locked!.txt”的勒索信息文件。文件中會向受害者索要1個門羅幣用于換取文件解密。根據本文撰寫時的匯率，1門羅幣約等于1107人民幣。

圖5. 勒索信息文件“Your data has been locked!.txt”?

安全建議

無論是NAS設備還是Linux系統，都不可能免疫惡意軟件的攻擊。尤其NAS設備，近些年NAS設備的普及勢頭加上各個NAS廠商的安全水平參差不齊，最終導致針對NAS設備發動攻擊的勒索軟件及勒索事件數量均呈現出了非常明顯的上升態勢。

所以對于本輪勒索軟件的攻擊，360安全大腦建議廣大用戶對數據存儲設備提高安全認識。及時更新NAS設備的系統及各類應用，尤其是安全更新和漏洞補丁。同時配置好設備的安全項，增加登錄口令強度。并且盡可能減少非必要的網絡服務來降低被入侵的概率。

此外，最重要的是做好重要數據的多重備份，不可僅將NAS設備作為唯一備份設備。非常重要的數據則建議盡可能離線備份，以此最大限度地降低安全風險。

熱點排行

欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频

P2Pinfect僵尸網絡部署勒索及挖礦軟件

熱點排行

關注我們