安全人員發現新式勒索病毒感染暴增,主要通過色情網站廣告位傳播

 Magniber 是一種利用 IE 漏洞的無文件勒索病毒,它此前對眾多韓國用戶造成嚴重損害。如果相關安全部門無法在漏洞發生初期發現並加以阻斷,則很難防止其進一步感染,這使得安全軟件難以檢測。

Magniber 勒索軟件自 2021 年 3 月 15 日以來使用 CVE-2021-26411 漏洞進行分發,直到最近被發現改為 CVE-2021-40444 漏洞。

值得一提的是,這是 9 月 14 日微軟推送安全補丁後的最新漏洞,目前大部分用戶都有被感染的風險。(僅在 Win10/Win11 環境中發生變化,其他環境中仍在利用 CVE-2021-26411)。

現有安全人員發現,Magniber 勒索病毒近期攻擊事件頻發,全國多地都有網民受到影響。

360 安全人員透露,該勒索病毒利用 CVE-2021-40444 漏洞進行傳播,還使用 PrintNightmare 漏洞進行提權,危害程度更甚以往。根據分析,該病毒主要通過色情網站的廣告位傳播。

自 11 月 5 日開始,他們便收到瞭大量感染 Magniber 勒索病毒的求助,同時檢測到 CVE-2021-40444 漏洞攻擊攔截量有較明顯上漲。經分析追蹤發現,這是一起掛馬攻擊團夥,從使用的技術、攻擊手法可以看出,這也是一個技術精良的黑客組織,同時由於此次掛馬網站主要面向國內,對普通網民都有重大影響。

安全人員表示,該黑客團夥主要通過在色情網站(也存在少部分其它網站)的廣告位上,投放植入帶有攻擊代碼的廣告,當用戶訪問到該廣告頁面時,就有可能中招,感染勒索病毒。

據悉,漏洞出現時,該勒索病毒會在下圖路徑中創建一個名為 calc.inf 的文件。Magniber 勒索軟件隨後由一個名為 control.exe 的普通 Windows 進程加載。

2021/09/16:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\calc.inf

2021/09/17:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\winsta.inf

下圖展示瞭漏洞發生時 iexplore.exe->control.exe 形式的調用過程以及 calc.inf 文件的操作過程。

安全人員發現新式勒索病毒感染暴增,主要通過色情網站廣告位傳播

下圖顯示瞭文件名為 calc.inf 的 Magniber 的分佈是在 2021 年 9 月 16 日 09:00 之後開始的,V3 檢測日志大約有 300 個案例。

受影響的操作系統

Windows 8.1、RT 8.1

Windows 10:1607、1809、1909、2004、20H2、21H1

Windows Server 2008 SP 2、2008 R2 SP 1

Windows Server 2012、2012 R2

Windows Server 2016、2019、2022

Windows Server 2004、20H2 版