歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
光擋 .js副檔名己無法防禦,勒索病毒再進化!
2016 / 09 / 10
本篇文章內容由廠商提供,不代表資安人科技網觀點
中華數位與ASRC研究中心發現勒索病毒的新變形,攻擊者同樣使用 Javascript 做為勒索病毒的前導程式,只是將惡意的 Javascript 放在 .hta 檔中,藉以躲避 .js 檔過濾條件的偵測!
上一波 Locky 勒索病毒大量使用了 .js 檔做為感染的前導,而 .js 能被 Windows 執行,是因為 Windows 作業系統預設啟用了 Windows Script Host 服務。面對這樣的攻擊,各方專家都提出了攔截 .js 副檔名或關閉 Windows Script Host 服務等防範辦法。不過中華數位與 ASRC 研究中心近期發現勒索病毒新變形,攻擊者同樣使用 Javascript 做為勒索病毒的前導程式,只是將惡意的 Javascript 放在 .hta 檔中。由於 Windows 作業系統中,點擊.hta檔預設會呼叫 Microsoft Internet Explorer 起來執行,這一舉直接突破了攔截 .js 副檔名的過濾條件或關閉 Windows Script Host 服務等防範辦法。
根據 ASRC 研究中心的分析, .hta 檔中所放置的惡意 Javascript 檔經過混淆 (Obfuscation) 處理,不易直接判讀惡意腳本打算進行的動作。
進一步的剖析發現,這個惡意腳本若被執行,則會試圖連線到這三個地方下載惡意檔案:
-
hxxp://www.itogazaidan.jp/HJghjt872
-
hxxp://www.ionut.coman.home.ro/HJghjt872
-
hxxp://twojamuza.y0.pl/HJghjt872
並存在本機的這三個位置:
- C:\Users\<user_name>\AppData\Local\Temp/pTOLwCQTqS1
- C:\Users\<user_name>\AppData\Local\Temp/pTOLwCQTqS2
- C:\Users\<user_name>\AppData\Local\Temp/pTOLwCQTqS3
接著,讀取檔案,並將檔案內容解碼存成 dll 檔,最後再透過 rundll32.exe 執行加密勒索程序。攻擊者從來不是省油的燈,只要資安業者公布了新的防範手法,攻擊者就會設法繞過,正所謂「道高一尺,魔高一丈」,資安防範不可一刻輕忽。
中華數位 SPAM SQR 面對這類型的攻擊,並非單純以攔截 .js副檔名的方式防禦。 SPAM SQR 掛載多重威脅防禦引擎,除可外掛防毒引擎抵抗已知病毒郵件外,內建的惡意檔案分析引擎,可層層分析附件檔案,讓此樣本出現的第一時間原形畢露。
已使用 SPAM SQR 的客戶請注意定期更新系統以及特徵,以達到最佳防禦效果。
了解更多資訊
http://www.softnext-inc.com/
。
最新活動
2024.10.03
2024 數位經濟資安趨勢論壇
2024.09.24
【2024 叡揚資安趨勢講堂】
2024.09.24
如何評估資安風險?這些方法你選對了嗎?
2024.09.25
IT x CT x OT Cybersecurity全方位資安聯防生態系論壇
2024.09.25
DevSecOps實戰:從地端到雲端,全面提升軟體開發安全性
2024.09.27
零信任資安強化企業防禦韌性媒合交流會
2024.09.27
華苓科技年度論壇9/27台北開跑,AI加持助企業績效翻倍!
2024.09.27
ForestSafe 與 CIMTRAK for VMware ESXi/vCenter 網路視訊研討會
看更多活動
大家都在看
“7777” 殭屍網路鎖定Asus、D-Link、Netgear、Zyxel及其他多牌家用路由器與VPN設備
Fortinet證實遭未經允許存取資料
TIDrone 駭客組織瞄準台灣無人機製造商
全景軟體通過數發部電子簽章解決方案服務能量登錄,符合電子簽章法
Microsoft 推出 2024 年 9 月 Patch Tuesday 每月例行更新修補包
資安人科技網
文章推薦
美偵破中國駭客集團「亞麻颱風」
網路釣魚間諜攻擊鎖定美台國防會議
Palo Alto Networks「精準AI」抵禦每日113億次攻擊