360安全衛(wèi)士
360殺毒
360文檔衛(wèi)士
360安全瀏覽器
360極速瀏覽器
360安全云盤
360隨身WiFi
360搜索
系統(tǒng)急救箱
重裝大師
勒索病毒救助
急救盤
高危漏洞免疫
360壓縮
驅(qū)動大師
魯大師
360換機助手
360清理大師Win10
360游戲大廳
360軟件管家
360手機衛(wèi)士
360防騷擾大師
360加固保
360貸款神器
360手機瀏覽器
360安全云盤
360免費WiFi
安全客
手機助手
安全換機
360幫幫
清理大師
省電王
360商城
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360互助
信貸管家
360攝像機云臺AI版
360攝像機小水滴AI版
360攝像機云臺變焦版
360可視門鈴
360攝像機云臺1080p
家庭防火墻V5S增強版
家庭防火墻5Pro
家庭防火墻5SV2
家庭防火墻路由器5C
360兒童手表S1
360兒童手表8X
360兒童手表P1
360兒童手表SE5
360智能健康手表
行車記錄儀M310
行車記錄儀K600
行車記錄儀G380
360行車記錄儀G600
兒童安全座椅
360掃地機器人X90
360掃地機器人T90
360掃地機器人S7
360掃地機器人S6
360掃地機器人S5
360安全衛(wèi)士
360殺毒
360文檔衛(wèi)士
360安全瀏覽器
360極速瀏覽器
360隨身WiFi
360搜索
系統(tǒng)急救箱
重裝大師
急救盤
勒索病毒救助
360壓縮
驅(qū)動大師
魯大師
360游戲大廳
360軟件管家
360手機衛(wèi)士
360防騷擾大師
手機急救箱
360加固保
360貸款神器
360免費WiFi
安全客
手機助手
一鍵root
安全換機
360幫幫
信用衛(wèi)士
清理大師
省電王
360商城
流量衛(wèi)士
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360手機N7
360手機N6
Pro
360手機vizza
360手機N5S
360兒童手表6C
360兒童手表6W
360兒童手表SE2代
360手表SE2Plus
360老人手表
360攝像機大眾版
360安全路由器P3
360安全路由器P2
360兒童機器人
外設(shè)產(chǎn)品
影音娛樂
平板電腦
二手手機
二代 美猴王版
二代
美猴王領(lǐng)航版
標準升級版
后視鏡版
車載電器過節(jié)也不消停——TellYouThePass的“端午攻勢”
概述
隨著端午節(jié)假期的結(jié)束,大家也都逐步回到了日常的工作生活當中。而360安全大腦則監(jiān)控到,就在端午節(jié)假期期間,一個熟悉的勒索病毒家族再度開啟了新一輪的“攻勢”。
根據(jù)監(jiān)控記錄,本輪攻擊最早見于2024年6月8日15時左右。而隨著時間的推移,本輪的整體攻擊態(tài)勢則在緩步升溫,雖然暫未呈“爆發(fā)”態(tài)勢,但依舊不容忽視。
圖1. TellYouThePass借助CVE-2024-4577漏洞的新一輪傳播?
而促成這一輪新的勒索軟件傳播的原因,當然不是端午節(jié)假期。根據(jù)監(jiān)控數(shù)據(jù)推測,引發(fā)本輪傳播的一個重要原因是CVE-2024-4577漏洞的PoC代碼在6月7日時被首度發(fā)布到了公開網(wǎng)絡(luò)上。
圖2. CVE-2024-4577漏洞的PoC運行錄屏?
漏洞與傳播
CVE-2024-4577漏洞
結(jié)合目前的監(jiān)控數(shù)據(jù)來看,本輪攻擊的源頭是來自于一個針對PHP-CGI的參數(shù)注入攻擊漏洞,漏洞的CVE編號為“CVE-2024-4577”。根據(jù)CVE官方的記述,在帶有該漏洞的環(huán)境中,PHP-CGI模塊可能會將Windows系統(tǒng)傳入的參數(shù)誤識別為PHP的配置選項傳遞給正在運行的PHP程序,進而可能被惡意攻擊者利用來實現(xiàn)“任意代碼執(zhí)行”的操作。
而目前已知受到該漏洞影響的操作系統(tǒng)僅為Winows系統(tǒng),而受影響的PHP版本則為:
l? 版本號小于8.1.29的所有8.1版PHP
l? 版本號小于8.2.20的所有8.2版PHP
l? 版本號小于8.3.8的所有8.2版PHP
圖3. CVE官方給出的受該漏洞影響的環(huán)境?
在野攻擊傳播勒索軟件
而在6月8日時,360安全大腦便監(jiān)控到了該漏洞的在野攻擊。在實際觸發(fā)的在野攻擊中,系統(tǒng)中的HTTP守護進程會將可觸發(fā)漏洞的參數(shù)傳遞給php-cgi程序,進而導致php-cgi.exe調(diào)起系統(tǒng)的cmd命令行工具運行mshta解釋器來獲取在線的遠程hta腳本(實際為vbs腳本)到本地并運行。
圖4. 360安全大腦監(jiān)控到的在野攻擊進程關(guān)系樹?
而最終執(zhí)行的腳本,則會釋放其中經(jīng)過編碼過的惡意程序并運。這個最終被釋放到本地并被運行起來的惡意程序,便是我們陰魂不散的“老朋友”,TellYouThePass勒索軟件。至此,TellYouThePass借助這個新公開的PHP漏洞展開了又一輪的攻擊。
樣本分析
hta腳本分析
攻擊者通過漏洞成功進行參數(shù)注入后,會調(diào)用系統(tǒng)的mshta解釋器加載在線的hta腳本到本地執(zhí)行。而經(jīng)分析,該hta腳本的內(nèi)容實際就是一個包裹在hta外殼下的vbs腳本。
圖5. 分析所用的dd3.hta腳本代碼片段?
該腳本會對其內(nèi)置的編碼字符串先進行Base64解碼,再進行反序列化等一系列操作,最終得到一個完整的.NET程序代碼,并調(diào)用該程序中一個名稱為“U”的類來執(zhí)行其勒索功能。
勒索軟件主體樣本分析
如前文所述,勒索軟件主體是一個.NET程序,而其用于實現(xiàn)勒索功能的主體代碼則是匯總在一個名為“U”的類中。
圖6. 勒索功能類“U”?
勒索軟件執(zhí)行后,會遍歷磁盤中所有文件。其中,勒索軟件會比對掃描到的目錄名稱,并比對內(nèi)置的列表中存在的35個目錄名。發(fā)現(xiàn)在內(nèi)置列表中則會跳過這些目錄而不加密其中的文件。
圖7. 勒索軟件內(nèi)置的35個“不加密”目錄名?
而在其他目錄中,勒索軟件還會識別具體文件的擴展名。如果文件擴展名不在其內(nèi)置的列表中,則會直接跳過而不進行加密。不過這個列表的覆蓋面卻是非常廣泛——共有426個待加密的擴展名。
圖8. 勒索軟件內(nèi)置的426個“待加密”文件擴展名?
勒索軟件對文件實施加密使用的則是較為傳統(tǒng)的AES加密算法。
圖9. 勒索軟件調(diào)用RijndaelManaged(AES算法)進行加密
當然,用于加密AES密鑰的,AES作為一個對稱加密算法,其密鑰自然也是需要被再次加密的。而加密AES密鑰的手法也同樣傳統(tǒng)——使用了內(nèi)置的RSA公鑰進行加密。
圖10. 勒索軟件調(diào)用RSA公鑰對AES密鑰進行加密?
安全提醒
目前,360反勒索服務(wù)中心尚未接到來自于360客戶端用戶關(guān)于TellYouThePass本輪攻擊的反勒索申訴。
但依然提示廣大網(wǎng)民應(yīng)確保系統(tǒng)中的安全防護軟件正常運行,且確保其勒索防護功能處于正常開啟狀態(tài)。
而尤其需要注意的是Windows系統(tǒng)中運行有PHP 8.*版本客戶端的用戶,建議立即將正在使用的PHP客戶端更新至PHP官方于6月6日發(fā)布的最新版本:8.1.29、8.2.20或8.3.8。
圖11. PHP官方發(fā)布的三個最新版本客戶端的公告
京公網(wǎng)安備 11000002000006號