• Buran勒索病毒通过Microsoft Excel Web查询文件进行传播


    Buran勒索病毒首次出现在2019年5月,是一款新型的基于RaaS模式进行传播的新型勒索病毒,在一个著名的俄罗斯论坛中进行销售,与其他基于RaaS勒索病毒(如GandCrab)获得30%-40%的收入不同,Buran勒索病毒的作者仅占感染产生的25%的收入,安全研究人员认为Buran是Jumper勒索病毒的变种样本,同时VegaLocker勒索病毒是该家族最初的起源,由于其丰厚的利润,使其迅速开始在全球范围内传播感染,Buran勒索病毒此前使用RIG Exploit Kit漏洞利用工具包进行传播,其利用了Internet Explorer的一个比较严重的漏洞CVE-2018-8174,近期国外研究人员监控到一例通过垃圾邮件附带Microsoft Excel Web查询文件传播Buran勒索病毒的最新样本。

    获取到的垃圾邮件,如下所示:

    附件中带有一个iqy文件,内容如下所示:

    该附件文档是一个IQY文件,当打开该文件时将执行Web查询或远程命令,该命令由使用PowerShell安装Buran Ransomware的远程服务器给出,如下所示:

    PowerShell脚本从远程下载恶意程序,相应的URL地址:

    hxxp://ocean-v.com/wp-content/1.exe,通过分析发现此程序为Buran勒索病毒,此勒索提示信息,如下所示:

    对于不熟悉IQY文件的用户,它们是Excel Web Query文档,打开后将尝试使用外部源将数据导入工作表中。例如,如下所示,附加的IQY文件只是一个文本文件,指定其数据将来自Web并从列出的URL中检索

    像恶意宏一样,用户首先需要启用数据源,但是正如我们在其他垃圾邮件活动中看到的那样,太多的人盲目地单击“启用”按钮,如下所示:

    这不是我们第一次看到利用IQY文件安装恶意软件的恶意电子邮件活动。

    在2018年,我们还看到Web查询被用于安装RAT,例如AMMYY Admin程序以及Necurs活动中的Marap和Quant Loader恶意软件。

    由于它们具有在受害者计算机上执行几乎所有命令的能力,因此Microsoft通过Web上的Outlook阻止了IQY文件,并使得可以通过组策略在Windows中阻止不受信任的Microsoft Query IQY文件。

    用户还可以通过在Excel中执行以下命令来自行阻止IQY文件,而无需管理员的帮助:

    参考链接:

    https://www.bleepingcomputer.com/news/security/buran-ransomware-infects-pcs-via-microsoft-excel-web-queries/

    针对企业的勒索病毒攻击越来越多了,具有很强的针对性,攻击手法也是多种多样,旧的勒索病毒不断变种,新型的勒索病毒又不断出现,全球每天都有勒索病毒的变种被发现,同时每天都有不同的企业被勒索病毒攻击,真的是数不甚数,随着BTC等虚拟货币的流行,未来勒索病毒的攻击还会持续增多,而且后面可能会慢慢转向针对不同的平台进行攻击,勒索病毒已经成为了全球网络安全最大的威胁。

  • 相关阅读:
    零数科技荣登“2019中国区块链企业百强榜”位列前茅
    周总结【java项目】
    HTML5中表单提交的4种验证方法
    windbg的时间旅行实现对 C# 程序的终极调试!
    面试题-3
    2020java面试总结
    LeetCode高频题73. 矩阵置零
    自动驾驶专题介绍 —— 停车位相关介绍
    文献阅读(184)AXI QoS
    牛客每日刷题之链表
  • 原文地址:https://blog.csdn.net/pandazhengzheng/article/details/136551582