天创培训:您身旁的信息安全培训专家!
开班方案
CISP-PTE浸透测试工程师7月班
主讲教师   张教师、高教师等
开课工夫   2019年7月22日-30日
培训方法   实地/面授
讲课天次   9天
上课工夫   09:00 -- 17:00
课程引见 在线报名
2019年7月CISP培训开班告诉
主讲教师   张教师、王教师等
开课工夫   2019年7月16日-21日
培训方法   实地/面授
讲课天次   培训5天+测验半天
上课工夫   09:00 -- 16:30
课程引见 在线报名
金莎娱乐
行业动态您当前位置: > 最新动态 > 行业动态

不需要受害者点击垂钓链接的讹诈软件:Sodin

作者:天创培训  滥觞:px.tcnet.com.cn  更新工夫:2019-07-10  关键词:讹诈软件,垂钓链接


  俄罗斯卡巴斯基实验室的研究人员暗示,他们发明了一名为 “Sodin” 的新型讹诈软件,操纵了客岁 8 月他们向微软陈述的 Windows 破绽 (编号:CVE-2018-8453),展示了一系列不同寻常的手艺。

  金沙贵宾会一站

  Sodin 操纵 win32k.sys 在受传染的体系中提拔权限,并操纵中央处理器 (CPU) 的架构来制止检测——这类功用以及以下下文引见的其他特性在讹诈软件中其实不常见。

  

  Sodin 讹诈软件不需要受害者点击垂钓链接。

  

  相反,它的开发人员/用户凡是会找到一个易受进犯的服务器,并发送死令下载一个名为 “radm.exe” 的歹意文件。这个 Windows 破绽于 2018 年 10 月 10 日被修复。关于那些没有给体系安装补钉的人来讲,讹诈软件的呈现再次提示了他们,不管碰到了什么应战,都该当优先更新补钉。

  

  该歹意软件比凡是更难检测到,是由于它利用了 “Heaven’s Gate”(天国之门)手艺,使其能在 32 位运转历程中施行 64 位的代码。

  4166am官网登录

  由 32 位和 64 位指令组成的 shellcode

  

  Sodin 还经由过程混淆计划来加密受害者文件(文件内容利用 Salsa20 对称流算法加密,密钥则经由过程非对称椭圆曲线算法加密)。

  

  卡巴斯基暗示,这个歹意软件似乎是 RaaS(讹诈软件即服务)方案的一部分。

  

  该公司的一名发言人注释道:有迹象表白,歹意软件是在一个同盟内部分发传布的。好比歹意软件的开发人员在歹意软件上留下了一个破绽,可以使他们在不被同盟成员发觉的状况下解密文件:一个不需要供应商的密钥停止解密的 “万能钥匙”(凡是供应商的密钥会用于解密受害者的文件,是付出赎金的工具)。

  

  Sodin 讹诈软件的大多数目的都在亚洲地区:尤其是台湾、香港和韩国。但是,在欧洲、北美和拉丁美洲也发明了进犯变乱。讹诈软件在遭到传染的个人电脑上留下了便笺,要求每位受害者供给代价 2500 美圆的比特币。

  

  研究人员以为,Sodin 利用了 Heaven’s Gate 手艺来绕过仿真检测。仿真网络入侵检测体系旨在经由过程暂时创立与样本交互的工具,然后阐发交互举动来检测网络流量中的 shellcode,这有点像一个超轻量级的沙箱。



041669金沙

推荐浏览

4166am官网登录
 |  关于天创 |  课程体系 |  金沙贵宾会一站 |  联络我们 |  网站舆图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
姑苏总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000
www.js55658.com