深信服EDR成功攔截利用Apache Log4j2漏洞Tellyouthepass 勒索,警惕攻擊OA系統
近日,Apache Log4j2遠端程式碼執行高危漏洞(CVE-2021-44228)被曝光,各類攻擊團伙乘虛而入,經深信服雲端資料監測,已經出現團伙利用此漏洞發起勒索攻擊。
12月13日,深信服終端安全團隊和安服應急響應中心聯合監測到一個名為Tellyouthepass的勒索病毒,該團伙已對雙平臺進行攻擊。深信服捕獲到大量Tellyouthepass勒索病毒攔截日誌,如圖所示。
重點關注!遭受Tellyouthepass勒索攻擊均為某OA系統
僅在12月12日17:00-19:00、12月13日17:00-19:00時間段內,已有多個省份不同行業的使用者資料遭到加密,且均為某OA系統。
(資料來源:深信服威脅情報團隊)
該團伙主要利用漏洞公開到修復的時間差進行批次掃描攻擊,由於漏洞已具有完整的POC,使其具有整合快、覆蓋範圍廣、攻擊時難以感知的特點。與常規的勒索病毒攻擊相比,此類攻擊的受影響較大的是存在漏洞的伺服器,暫不具有內網自動橫向的功能,但加密後資料無法直接解密,同樣面臨高額的勒索贖金。
l雲端監測
深信服安全專家透過雲蜜罐和雲端防護日誌監測,Tellyouthepass勒索針對某OA系統和某開源專案使用log4j2的漏洞共發起上千次起攻擊,且透過深信服EDR雲端攔截日誌發現同一時間出現大量Tellyouthepass勒索病毒攔截記錄。
l12月12日 18:07:21
終端日誌排查,攻擊者利用漏洞進行入侵;
終端日誌
l12月12日 18:08:25
EDR查殺日誌排查,深信服EDR攔截阻斷勒索病毒加密,並自動進行隔離;
EDR查殺日誌
雙平臺病毒分析
Windows系統
針對捕獲的勒索病毒樣本,安全專家進行了深入分析,針對該團伙利用CVE-2021-44228進行批次攻擊,執行命令後下載勒索病毒檔案到C:\debug.exe並執行,病毒執行後與後臺IP進行通訊:
對主機磁碟進行掃描
對每個磁碟下的檔案進行掃描
在每個目錄下寫入README.html檔案
對檔案進行加密。
釋放勒索信內容如下
加密後的檔案如下,會修改檔案字尾為.locked
Linux系統
Linux系統的勒索病毒行為相似,在入侵後執行檔案,與後臺IP進行通訊:
停止關鍵服務:
掃描linux檔案路徑:
寫入勒索文字:
找到可加密的檔案後通知加密協程:
勒索文字如下:
有效處置:終端檢測響應平臺EDR勒索防護策略
1. 高階威脅檢測
針對此次log4j2漏洞引發的勒索惡意軟體攻擊,深信服終端檢測響應平臺EDR可提供基於終端行為和威脅情報的高階威脅檢測技術。關於該漏洞利用、勒索惡意軟體執行繞過、持久化等操作進行檢測,深信服EDR同時支援視覺化溯源完整攻擊行為。
深信服EDR藉助威脅狩獵模組,使用狩獵查詢語法,可以快速篩選出內網中存在log4j2漏洞風險的主機。
深信服EDR整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒,建議升級最新版本及最新病毒庫,接入深信服安全雲腦,及時檢測防禦新威脅。
2. 自動攔截處置
一旦檢測出Tellyouthepass勒索病毒,深信服EDR可開啟勒索防護功能自動處置,有效阻斷勒索加密行為,保護資料安全。
3.安全運營服務
同時,深信服EDR可結合託管式安全運營服務MSS,透過以“人機共智”的服務模式,雲端安全專家進行7*24小時勒索病毒監測預警,以及結合微信告警推送,全程保障使用者業務安全。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
掃碼體驗深信服EDR
高階威脅檢測功能
值得注意的是,Tellyouthepass勒索病毒已經不是第一次利用高危漏洞發起攻擊,早在去年,其已利用永恆之藍漏洞攻擊多個組織單位。面對來勢洶洶的Tellyouthepass勒索病毒,如何進行有效預防、監測與處置?
深信服基於多年來為1000+各行業使用者提供有效的勒索病毒防護,在實踐中沉澱出系統性解決方案。
深信服勒索病毒防護解決方案
以“安全裝置+勒索預防與響應服務”為基礎,圍繞邊界投毒+病毒感染+加密勒索+橫向傳播的完整勒索攻擊鏈,全面幫助使用者補齊在勒索預防、監測、處置能力方面的缺失,構建有效預防、持續監測、高效處置的勒索病毒防護體系。
l專項檢測、專家定期全面排查,有效預防
基於專項的勒索病毒Checklist,安全專家定期開展勒索風險排查,確保勒索風險全面可視。安全裝置內建勒索病毒對抗專項配置及加固,勒索病毒防禦更有效。
l7*24小時持續監測,微信告警推送全程保護
本地勒索病毒攻擊、感染、傳播等全攻擊鏈檢測機制,雲端安全專家7*24小時勒索病毒監測預警體系,勒索威脅微信告警推送,全程保障使用者業務安全。
l5分鐘快速響應,多裝置聯動高效處置
安全專家線上5分鐘響應,多安全裝置聯動快速隔離遏制勒索病毒。線上線下協助使用者精準溯源排查,徹底根除勒索病毒,高效處置全面降低使用者損失。
掃碼瞭解深信服
勒索病毒防護解決方案
相關文章
- 使用 Apache APISIX serverless 能力快速攔截 Apache Log4j2 的高危漏洞ApacheAPIServer
- 【漏洞】OA辦公系統“烽火狼煙”,高危漏洞攻擊爆發
- 攻擊不斷!QNAP 警告利用0day漏洞Deadbolt 勒索軟體攻擊
- Vice Society 勒索軟體正在利用PrintNightmare漏洞進行攻擊
- 警惕!Nas裝置正在受到Qlocker勒索軟體攻擊
- 前端安全 — 淺談JavaScript攔截XSS攻擊前端JavaScript
- Apache存在Log4j2遠端程式碼執行漏洞 騰訊安全助力企業檢測攔截Apache
- Win10高危漏洞遭黑產攻擊!騰訊安全緊急響應全面攔截Win10
- 騰訊安全:微軟再爆高危漏洞,騰訊御點強勢攔截針對性攻擊微軟
- 荷蘭或將向勒索攻擊宣戰;蘋果 AirTag 存在儲存型XSS漏洞,恐被攻擊者利用蘋果AI
- 利用勒索軟體Locky的漏洞來免疫系統
- 駭客動態播報 | 警惕!這種新型勒索攻擊正在興起!
- 安全快報 | 美國FBI提醒公眾警惕Karakurt勒索軟體攻擊
- Apache Log4j2遠端程式碼執行漏洞風險緊急通告,騰訊安全支援全面檢測攔截Apache
- 警惕黑客利用“新冠肺炎”熱詞發起網路攻擊黑客
- 如何利用Ptrace攔截和模擬Linux系統呼叫Linux
- 勒索軟體利用IE漏洞掛馬傳播,騰訊零信任iOA、騰訊電腦管家支援檢測攔截
- 安全漏洞在網路攻擊中影響多大?勒索組織趁漏洞修補時機發起攻擊
- 每日安全資訊:Weblogic 0day 漏洞正被攻擊者利用安裝勒索軟體Web
- 2021年未修補漏洞利用為勒索軟體攻擊依賴主要切入點
- faust勒索病毒攻擊加密Windows系統的方式,勒索病毒解密資料恢復加密Windows解密資料恢復
- 駭客成功攻擊英國供水商,但勒索了錯誤的物件物件
- 美創諾亞防勒索系統助力合肥市財政局防範勒索病毒攻擊
- 短視訊直播系統,軟體自帶的攔截器,攔截功能
- 哪些行業成勒索攻擊重災區?《深信服2021年度勒索病毒態勢報告》重磅釋出行業
- apache log4j2 漏洞復現linuxApacheLinux
- 勒索軟體攻擊影響
- 再次捕獲!重保期間攔截針對Coremail的釣魚攻擊REMAI
- 防止瀏覽器或系統攔截軟體攔截的指令碼怎麼寫瀏覽器指令碼
- 深信服EDR快速釋出Windows condrv.sys記憶體損壞漏洞防護Windows記憶體
- 如何使用微信域名攔截檢測系統?
- Android利用廣播攔截簡訊Android
- 航天科工自行研發“反無人機”系統,綜合攔截成功率高達80%無人機
- 中國工商銀行遭勒索軟體攻擊,金融服務系統中斷
- Windows系統被faust勒索病毒攻擊勒索病毒解密伺服器與資料庫解密恢復Windows解密伺服器資料庫
- 看好你的門-XSS攻擊(2)-利用反射型XSS漏洞 進行鍼對性攻擊反射
- 為什麼漏洞掃描程式不足以防止勒索軟體攻擊
- 黑客利用深信服SSL VPN進行攻擊,綠盟威脅情報已支援相關檢測黑客