绿盟科技NGTP解决方案轻松应对勒索病毒CBT-Locker

绿盟科技NGTP解决方案轻松应对勒索病毒CBT-Locker

黑客安全访客2021-10-11 23:53:008115A+A-

  勒索病毒背景

  近期,安全圈被勒索病毒“CTB-Locker”刷屏,“CTB-Locker”是目标性极强的比特币敲诈者病毒,来势汹汹。这个病毒是通过邮件传播,中毒后会加密磁盘里的数据,并发送勒索信息,若不支付勒索费用,文件将会在95小时内被全部删除。

  绿盟科技技术团队NSTRT也收到了不少客户的咨询,发现自身的内部网络中收到了该类型的病毒,并提供了恶意样本。目前根据反馈的用户统计,收到该病毒的主要是企业、金融机构的高层管理人员。

  1.病毒样本的原理

  1)传播方式

  CTB-Locker病毒的隐秘性非常高,主要是通过邮件的方式进行传播,邮件的文件格式类似下图:

  2)感染方式

  该病毒附件是一个zip的压缩包,里面的带有一个.scr的文件。如下图:

  在点击打开该文件之后是一个Downloader,病毒会先判断本机能否连接Windows Update站点,如果可以上网,则会自动向几个特殊的域名进行下载操作,并在根目录下生成一个.cab的文件,并自动执行,同时打开.cab中的rtf文件。如下图:

  这时,用户以为仅打开了一个普通的文件,其实自身已经感染了病毒。病毒会对磁盘进行搜索,并判断用户的文件格式是否符合感染目标(目前统计约114种文件为病毒感染目标),然后对其进行加密,并在桌面上显示敲诈信息。

  绿盟新一代威胁防护方案(NGTP)处理勒索病毒

  根据绿盟科技威胁响应中心对病毒样本的分析,从攻击链条上看,这个样本与典型的APT攻击有很多相似的地方。比如,都是通过邮件钓鱼进行感染,然后在黑客预先设置的服务器上下载有效的病毒代码,释放后进行感染,最后出现勒索画面。

  下图是APT攻击的典型过程,CBT-Locker在软件下载和C&C连接两个环节上跟APT攻击十分相近。

  绿盟科技新一代威胁防护方案(NGTP)的组件能够有效检测和防御这类威胁。

  1.NGTP的模块

  绿盟科技NGTP解决方案,包含以下几个模块“

  1)ESPP:绿盟全球信誉云系统,提供安全信誉

  2)TAC:威胁分析中心,对已知和未知的安全威胁进行分析,并上报到绿盟全球信誉云

  3)NIPS:网络入侵防护系统,能够对网络层及Web攻击等进行检测和防护

  4)SEG:邮件安全网关,对病毒邮件和垃圾邮件进行过滤

  2.TAC与NIPS联动方案

  当邮件进入到企业内网,TAC设备对邮件协议进行文件还原,通过本地的沙箱系统进行虚拟执行,分析出恶意病毒进行外联下载的行为。TAC把分析出的结果上报到绿盟全球信誉云系统,形成恶意软件和URL信誉。当本地的NIPS设备进行信誉更新后,即可对这个恶意软件进行报警和阻断。

  3.TAC与SEG联动方案

  TAC与SEG的联动方案能够更进一步进行病毒清除。由于这个病毒是通过邮件进行传播的,邮件安全网关在信誉进行升级后,能够通过文件信誉识别出邮件中的附件是否为恶意软件,并根据结果对病毒邮件进行隔离或者直接删除。这种处理方式,使得病毒根本没有机会对内网的终端进行感染。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 柔侣娇痞2022-05-30 23:02:06
  • ,则会自动向几个特殊的域名进行下载操作,并在根目录下生成一个.cab的文件,并自动执行,同时打开.cab中的rtf文件。如下图:  这时,用户以为仅打开了一个普通的文件,其实自身已经感染了病毒。病毒会对磁盘进行搜索,并判断用户的文件格式是否符合感染目标(目前统计
  • 颜于木白2022-05-30 20:01:41
  • 是一个Downloader,病毒会先判断本机能否连接Windows Update站点,如果可以上网,则会自动向几个特殊的域名进行下载操作,并在根目录下生成一个.cab的文件
  • 晴枙拒梦2022-05-30 15:06:04
  • 报到绿盟全球信誉云系统,形成恶意软件和URL信誉。当本地的NIPS设备进行信誉更新后,即可对这个恶意软件进行报警和阻断。  3.TAC与SEG联动方案  TAC与SEG的联动方案能够更进一步进行病毒清除。由于这
  • 痴妓隐诗2022-05-30 23:23:43
  • 件和URL信誉。当本地的NIPS设备进行信誉更新后,即可对这个恶意软件进行报警和阻断。  3.TAC与SEG联动方案  TAC与SEG的联动方案能够更进一步进行病毒清除。由于这个病毒是通过邮件进
  • 辙弃叙詓2022-05-30 14:05:05
  • 果可以上网,则会自动向几个特殊的域名进行下载操作,并在根目录下生成一个.cab的文件,并自动执行,同时打开.cab中的rtf文件。如下图:  这时,用户以为仅打开了一个普通的文件,其实自身已经感

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理