近期,有国外研究人员发现了一种新型的勒索软件,并将其命名为Magniber,值得注意的是,这款勒索软只针对韩国及亚太地区的用户开展攻击。该勒索软件是基于Magnitude exploit kit(简称Magnitude EK)开发套件进行开发,并且在之前有多款恶意软件基于这款开发套件进行开发,也正是因为这样,研究人员将其命名为Magniber, 取Magnitude exploit kit的”Magni“及Cerber的“ber”组合而成。
对于Magnitude EK, 这款恶意软件此前一直在亚太活动,火眼在其一篇文章中称,自2016年Magnitude EK的活动基本已经销声匿迹,但是其仍一直在特定地区活动频繁,特别是近期一直在频繁攻击APAC地区(亚太),下图是火眼的一张攻击分布图:
Magnitude EK攻击分布图
除此之外,前段时间其他机构的研究员也发现了Magniber类似的活动迹象。趋势科技指出,自十月15日以来,Magniber勒索软件,就一直在开展攻击活动。不过即便是这个恶意软件目前在这亚太地区活动频繁,但是暂时没有迹象表明其正在针对特定组织或机构开展攻击。
同时,有另外名来自火眼的研究员,Muhammad Umair,Zain Gardezi在一篇报告中介绍了该勒索软件的大致执行流程,勒索软件Magniber在执行时会通过调用GetSystemDefaultUILanguage函数来检查操作系统语言版本,如果发现系统语言版本不是韩语,则直接退出。如果系统语言版本为韩文,接着会将其使用RC4加密存储至代码资源区的核心代码解密至内存中执行,然后这段核心代码会采用AES 128对系统中的数据进行加密,同时,将加密后的文件的文件名加一个后缀“.ihsdj”,当它完成所有的操作之后,他会将自己从磁盘中删除,这种做法和其他勒索软件并无区别。另外,这款恶意软件还会做虚拟机检测,如果发现自己位于虚拟机中,则会中断执行。执行流程如图所示:
Magniber执行流程图
同时趋势科技还指出,该勒索软件主要使用微软去年9月修补的一个IE内存破坏漏洞(CVE-2016-0189)进行扩散。攻击者通过发送邮件的方式在用户机器上触发该漏洞,那些运行老旧版本的机器,未打补丁的机器,极易中招。
目前该勒索软件主要针对韩国及部分亚太地区,国内暂时为发现活动迹象,但是本着未雨绸缪的心态,当务之急还是应该尽快将自己的电脑的补丁打全,同时来历不明的邮件不要随意点开。安全小子团队后续也会对此恶意软件展开追踪及分析。
参考文章:
[1] https://threatpost.com/new-magniber-ransomware-targets-south-korea-asia-pacific/128567/
[2] https://www.fireeye.com/blog/threat-research/2017/10/magniber-ransomware-infects-only-the-right-people.html
欢迎关注安全小子,安全路上你我同行