安全人員發(fā)現(xiàn)新式勒索病毒感染暴增，主要通過色情網(wǎng)站廣告位傳播

IT之家 發(fā)布時間：2021-11-11 09:40:40 作者：問舟

Magniber 是一種利用 IE 漏洞的無文件勒索病毒，對眾多韓國用戶造成嚴(yán)重?fù)p，大家一定要預(yù)防感染，下文就為大家?guī)碓敿?xì)介紹，朋友們趕緊看看吧

Magniber 是一種利用 IE 漏洞的無文件勒索病毒，它此前對眾多韓國用戶造成嚴(yán)重?fù)p害。如果相關(guān)安全部門無法在漏洞發(fā)生初期發(fā)現(xiàn)并加以阻斷，則很難防止其進(jìn)一步感染，這使得安全軟件難以檢測。

Magniber 勒索軟件自 2021 年 3 月 15 日以來使用 CVE-2021-26411 漏洞進(jìn)行分發(fā)，直到最近被發(fā)現(xiàn)改為 CVE-2021-40444 漏洞。

值得一提的是，這是 9 月 14 日微軟推送安全補(bǔ)丁后的最新漏洞，目前大部分用戶都有被感染的風(fēng)險。（僅在 Win10/Win11 環(huán)境中發(fā)生變化，其他環(huán)境中仍在利用 CVE-2021-26411）。

現(xiàn)有安全人員發(fā)現(xiàn)，Magniber 勒索病毒近期攻擊事件頻發(fā)，全國多地都有網(wǎng)民受到影響。

360 安全人員透露，該勒索病毒利用 CVE-2021-40444 漏洞進(jìn)行傳播，還使用 PrintNightmare 漏洞進(jìn)行提權(quán)，危害程度更甚以往。根據(jù)分析，該病毒主要通過色情網(wǎng)站的廣告位傳播。

自 11 月 5 日開始，他們便收到了大量感染 Magniber 勒索病毒的求助，同時檢測到 CVE-2021-40444 漏洞攻擊攔截量有較明顯上漲。經(jīng)分析追蹤發(fā)現(xiàn)，這是一起掛馬攻擊團(tuán)伙，從使用的技術(shù)、攻擊手法可以看出，這也是一個技術(shù)精良的黑客組織，同時由于此次掛馬網(wǎng)站主要面向國內(nèi)，對普通網(wǎng)民都有重大影響。

安全人員表示，該黑客團(tuán)伙主要通過在色情網(wǎng)站（也存在少部分其它網(wǎng)站）的廣告位上，投放植入帶有攻擊代碼的廣告，當(dāng)用戶訪問到該廣告頁面時，就有可能中招，感染勒索病毒。

據(jù)悉，漏洞出現(xiàn)時，該勒索病毒會在下圖路徑中創(chuàng)建一個名為 calc.inf 的文件。Magniber 勒索軟件隨后由一個名為 control.exe 的普通 Windows 進(jìn)程加載。

2021/09/16：%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\calc.inf

2021/09/17：%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\winsta.inf

下圖展示了漏洞發(fā)生時 iexplore.exe->control.exe 形式的調(diào)用過程以及 calc.inf 文件的操作過程。