新观点勒索病利用Flash漏洞挂马攻击，

pantuomenn

一、背景 [url=http:///www.xiazaigou.com]软件下载[/url]的相关知识也可以到网站具体了解一下，有专业的客服人员为您全面解读，相信会有一个好的合作！[align=center]

                               
登录/注册后可看大图

[/align]


近期，讯安全御见威胁情报中心监测到P(天堂)勒索病呈小范围爆发。此次攻击中，黑客通过在色情某些页面中嵌入带有CVE-2021-4878 F漏洞攻击代码的SWF文件，当民访问色情时，触发恶意代码，导致电脑被勒索病感染，中用户会被勒索比特币。







攻击者使用的漏洞工具威胁低版本A F P的用户，漏洞触发后会执行S，并通过S加载P勒索病变种(被加密文件的文件后辍被修改为NC)。该病检测到用户为俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦等时不会加密用户文件。



讯安全专家建议用户使用或讯御点修复漏洞安装补丁，避免因本机F P版本过低导致页挂马攻击。同时，建议用户在浏览某些高风险时，确保安全软件处于开启状态。



二、详细分析


1传播方式


在访问某色情某个页面时，F文件A10JFUX5(8位随机)被请求加载执行







A10JFUX5包含进行构造的CVE-2021-4878漏洞利用代码，漏洞位于F的包中，是一个UAF漏洞，需要借助强制GC或者刷新页面来触发该漏洞，漏洞影响 F P 版本280017以及之前的所有版本。



漏洞主要POC代码在“_-”类中，利用漏洞后执行的S在二进制数据 “B 1”中，该恶意F文件结构如下:







主要漏洞利用代码：







其中_16是一个继承自DRMOCL类的对象，将该对象注册为MP对象的一个通知回调接口，然后释放该对象。但此时在MP对象中仍然保存着该对象_16，当强制系统进行垃圾回收时MP对象的回调执行已经被释放的_16，从而导致了UAF漏洞。







2勒索病


F漏洞攻击执行S植入勒索病母体252BC，完整路径为



C:\U\[]\AD\L\T\252BC



母体运行后将自身和勒索信息相关文件拷贝到启动目录下面，文件为生成随机字符串







动态获取CT2S等函数地址







通过VA申请内存，解密核心P的PE文件，并将解密后的代码布置到0400000之后的内存中，随后跳转至0400D0执行







通过GUDLID获取操作系统语言，如果操作系统语言为： 0419 俄罗斯、04 哈萨克、042 白俄罗斯、0422 乌克兰、0447 古吉拉特邦，则执行 127001命令，并删除自身







关闭系统自带防护软件W D







遍历磁盘目录，创建线程对文件进行加密







文件加密流程如下







被加密后的文件后缀为[原文件]_[6位随机字符串]_{_@-}NC







生成勒索提示文本



(-=###_INFO__FILE_###=-)







删除卷影







弹出勒索提示文本







弹出勒索提示窗口







、安全建议


1、及时升级AFP到高版本（推荐用户使用或讯御点内置的软件管理功能，搜索F P安装最新版本），根据A官方公告采取其他缓解措施。



-18-01



2、尽量关闭不必要的端口，如：445、15，19等，对89，5900等端口可进行白单配置，只允许白单内的IP连接登陆。



、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿访问。



4、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且规律密码，并且强制要求每个服务器使用不同密码管理。



5、对没有互联需求的服务器工作站内部访问设置相应控制，避免可连外服务器被攻击后作为跳板进一步攻击其他服务器。



6、对重要文件和数据（数据库等数据）进行定期非本地备份。



7、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用O宏代码。



8、在终端服务器部署专业安全防护软件，W服务器可考虑部署在讯云等具备专业安全防护能力的云服务。







9、个人用户打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备患。







IOC


445101077592



2585852876527941642