您现在的位置是:首页 > 比特币 > 比特币新闻比特币新闻
比特币病毒:色情网站利用Flash高危漏洞传播比特币勒索病毒
2019-08-17来源:作者:腾讯御见威胁情报中心栏目:比特币新闻
简介近期Pardise(天堂)比特币病毒呈小范围爆发,黑客通过在色情网站嵌入恶意代码,导致电脑被比特币病毒感染,中毒用户会被勒索比特币
一、背景
近期,腾讯安全御见威胁情报中心监测到Pardise(天堂)比特币病毒呈小范围爆发。此次攻击中,黑客通过在色情网站某些页面中嵌入带有CVE-2018-4878 Flash漏洞攻击代码的SWF文件,当网民访问色情网站时,触发恶意代码,导致电脑被勒索病毒感染,中毒用户会被勒索比特币。
攻击者使用的漏洞工具威胁低版本Adobe Flash Player的用户,漏洞触发后会执行Shellcode,并通过Shellcode加载Pardise比特币病毒变种(被加密文件的文件后辍被修改为NewCore)。该比特币病毒检测到用户为俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦等国家时不会加密用户文件。
腾讯安全专家建议用户使用腾讯电脑管家或腾讯御点修复漏洞安装补丁,避免因本机Flash Player版本过低导致比特币病毒攻击。同时,建议用户在浏览某些高风险网站时,确保安全软件处于开启状态。
二、详细分析
1.比特币病毒传播方式
在访问某色情网站某个页面时,Flash文件A10JFUX5.swf(8位随机名)被请求加载执行
A10JFUX5.swf包含进行构造的CVE-2018-4878漏洞利用代码,漏洞位于Flash的com.adobe.tvsdk包中,是一个UAF漏洞,需要借助强制GC或者刷新页面来触发该漏洞,漏洞影响 Flash Player 版本28.0.0.137以及之前的所有版本。
漏洞主要POC代码在“_-h”类中,利用漏洞后执行的Shellcode在二进制数据 “Binary 1”中,比特币病毒Flash文件结构如下:
主要漏洞利用代码:
其中var_16是一个继承自DRMOperationCompleteListener类的对象,将该对象注册为MediaPlayer对象的一个通知回调接口,然后释放该对象。但此时在MediaPlayer对象中仍然保存着该对象var_16,当强制系统进行垃圾回收时MediaPlayer对象的回调执行已经被释放的var_16,从而导致了UAF漏洞。
2.比特币勒索病毒
Flash漏洞攻击执行Shellcode植入勒索病毒母体rad252BC.tmp.exe,完整路径为
C:\Users\[guid]\AppData\Local\Temp\rad252BC.tmp.exe
母体运行后将自身和比特币病毒信息相关文件拷贝到启动目录下面,文件名为生成随机字符串
动态获取CreateToolhelp32Snapshot等函数地址
通过VirtualAlloc申请内存,解密核心Payload的PE文件,并将解密后的代码布置到0x400000之后的内存中,随后跳转至0x4030D0执行
通过GetUserDefaultLangID获取操作系统语言,如果操作系统语言为:0x419 俄罗斯、0x43f 哈萨克、0x423 白俄罗斯、0x422 乌克兰、0x447 古吉拉特邦,则执行ping 127.0.0.1命令,并删除自身
关闭系统自带防护软件Windows Defender
遍历磁盘目录,创建线程对文件进行加密
比特币病毒文件加密流程如下
被加密后的文件后缀为[原文件名]_[6位随机字符串]_{info_newcore@p-security.li}.NewCore
生成比特币病毒提示txt文本(-=###_INFO_you_FILE_###=-.txt)
删除卷影
弹出比特币病毒提示文本
弹出比特币病毒提示窗口
三、安全建议
1、及时升级AdobeFlashPlayer到高版本(推荐用户使用腾讯电脑管家或腾讯御点内置的软件管理功能,搜索Flash Player安装最新版本),根据Adobe官方公告采取其他缓解措施。
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html
2、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
3、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
4、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
5、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
6、对重要文件和数据(数据库等数据)进行定期非本地备份。
7、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
8、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
9、个人用户打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
IOCs
4fa43ed5cccd1ed0af1f07de7f5bb92d
d2585eb85a2f38765279f3eced4f1642
很赞哦! ()
随机图文
-
巴菲特:比特币信仰是一种妄想,但区块链很重要!
股神巴菲特在过去一直是比特币的批评者,这位公认的投资大师今年首次对加密货币发表了观点,特别强调了区块链技术很重要,但对比特币的价值仍然不那么乐观。有着「奥马哈先知」之称的巴菲特,对比特币的看法众所周知,他早在2014年,就警告投资者要避免接触数字货币。 -
比特币和以太坊恐怕永远无法成为支付手段
虽然比特币和以太坊仍然饱受争议,但是这两大币种作为数字货币市场的“头牌”,两个币种即占据了整个数字货币市场总市值的四分之三,而且,当下比特币已成为极客和毒贩牟 -
日本通讯巨头LINE的区块链野心
Line在今年 9 月获得日本金融厅(Financial Services Agency,FSA)牌照,开了第二家交易所 BITMAX,近日与日本野村控股(Nomura Holdings)达成最终协议,共同组织一个区块链联盟(Blockchai -
「比特币工厂」揭秘世界五大矿场谁才是真正的算力之王
「比特币工厂」揭秘世界五大矿场谁才是真正的算力之王 比特币挖矿业已是一个活动遍布全球114个国家的完整产业,矿机不停地进行着运算以确保全球加密货币区块链网络的正常运行。