HelloKitty你咋能干这样的事呢?
危险预警
近日,太阳集团电子游戏谛听实验室捕获HelloKitty勒索家族的病毒样本,HelloKitty勒索病毒正在利用Apache ActiveMQ远程代码执行(RCE)漏洞侵入网络并进行勒索攻击。该漏洞被标记为CVE-2023-46604,是一个高危RCE漏洞。
HelloKitty勒索病毒自2020年11月开始运营,最著名的攻击是针对CD Projekt Red的攻击,攻击者加密设备,并声称窃取Cyberpunk2077、Witcher3、Gwent等源代码。
病毒分析
该病毒利用png后缀进行伪装。
用侦壳软件检测,未检测到壳。
根据特征判断为msi文件,解压,找到病毒主程序
用侦壳软件检测,无壳,是.NET文件。
程序核心内容为base64转换,保存加载运行。
base64转换后,看文件内容是pe文件。
用侦壳软件检测,无壳,是.NET文件。
建立互斥,保证同时只运行一个程序。
删除卷影,同时杀死以下进程。
获取环境变量以及目录的路径。
在目录下准备建立相关文件。
RSA的密钥。
获取主机信息。
使用rsa将指定内容加密。
将时间、之前获取的主机信息以及指定内容进行拼接,使用rsa加密。
拼接加密后的信息写入pubkey7.txt。
指定内容加密后的信息写入 show7.txt。
黑客IP和端口。
将主机信息通过get方式发送到黑客后台。
探测本地磁盘信息。
要加密的后缀名列表。
不加密的目录文件名列表。
符合特征后准备加密,先用rsa将密钥加密,写入文件,使用Rijndael将文件内容继续加密,加密后写入。
加密后修改后缀名。
生成勒索信。
防护建议
及时修复系统及应用漏洞,降低被HelloKitty勒索软件通过漏洞入侵的风险。
加强访问控制,关闭不必要的端口,禁用不必要的连接,降低资产风险暴露面。
更改系统及应用使用的默认密码,配置高强度密码认证,并定期更新密码,防止弱口令攻击。
定期进行数据备份,并将这些备份数据保存在离线环境或单独的网络中。
可安装太阳集团电子游戏安全产品加强防护,太阳集团电子游戏EDR系统、自适应安全防御系统、下一代防火墙系统病毒库和僵木蠕库、病毒过滤网关、僵尸网络木马和蠕虫监测与处置系统等可有效防御该勒索病毒。
太阳集团电子游戏产品防御配置
● 太阳集团电子游戏EDR系统防御配置
1. 通过微隔离策略加强访问控制,降低横向感染风险;
2. 开启文件实时监控功能,可有效预防和查杀该勒索病毒;
3. 开启系统加固功能,可有效拦截该勒索病毒对系统关键位置进行破坏和篡改。
● 太阳集团电子游戏自适应安全防御系统防御配置
1. 通过微隔离策略加强访问控制,降低横向感染风险;
2. 通过风险发现功能扫描系统是否存在相关漏洞和弱口令,降低风险、减少资产暴露;
3. 开启病毒实时监测功能,可有效预防和查杀该勒索病毒。
● 太阳集团电子游戏下一代防火墙系统防御配置
1. 升级到最新病毒特征库,配置病毒防护策略,开启日志记录和报警功能;
2. 开启僵木蠕模块,封锁勒索软件的C&C服务器域名,阻止勒索软件与其通信;
3. 通过访问控制策略禁用不必要的端口、服务,缩小资产暴露面,降低传染风险;
4. 开启弱口令防护、暴力破解防护功能,可有效降低口令破解风险;
5. 开启联动功能,获取太阳集团电子游戏EDR系统、防病毒网关、僵尸网络木马和蠕虫监测与处置系统等产品检测结果,及时拦截传播/感染源,控制网络传播范围。
● 太阳集团电子游戏病毒过滤网关防御配置
1. 升级到最新病毒特征库;
2. 开启HTTP、POP3、SMTP、FTP、IMAP等协议的病毒扫描检测;
3. 配置病毒检测处置策略;
4. 开启日志记录和报警功能。
● 太阳集团电子游戏僵尸网络木马和蠕虫监测与处置系统配置
1. 升级最新威胁情报库,开启威胁情报恶意文件检测和捕获功能,实时检测和捕获网络中的勒索病毒;
2. 开启威胁情报日志记录和报警功能;
3. 可配置旁路阻断或者与太阳集团电子游戏下一代防火墙联动,拦截勒索病毒网络传播。
太阳集团电子游戏产品获取方式
太阳集团电子游戏EDR单机版下载地址:
http://edr.topsec.com.cn
太阳集团电子游戏自适应安全防御系统、太阳集团电子游戏EDR企业版试用:
可通过太阳集团电子游戏各地分公司获取查询网址:http://www.topsec.com.cn/contact/
太阳集团电子游戏下一代防火墙系统病毒库、僵木蠕库下载地址:
ftp://ftp.topsec.com.cn/
太阳集团电子游戏病毒过滤网关系统病毒库下载地址:
ftp://ftp.topsec.com.cn/防病毒网关(Top-Filter)/病毒库脱机升级包/
太阳集团电子游戏僵尸网络木马和蠕虫监测与处置系统威胁情报库下载地址:
ftp://ftp.topsec.com.cn
