新型RedAlert勒索病毒针对VMWare ESXi服务器

前言

RedAlert勒索病毒又称为N13V勒索病毒,是一款2022年新型的勒索病毒,最早于2022年7月被首次曝光,主要针对Windows和Linux VMWare ESXi服务器进行加密攻击,到目前为止该勒索病毒黑客组织在其暗网网站上公布了一名受害者,同时该名受害者在其官网上也发布了被黑客攻击的信息,该名受害者企业正在与网络犯罪领域的专家进行取证和溯源工作,并发布了相关的公告,如下所示:

该企业公告表明:尚不能肯定数据库被泄露了,但出于透明度的考虑,已经预防性地通知了客户,根据目前的掌握的情况,攻击者并没有入侵企业的中央数据库,仍然可以通过电子邮件和电话访问,正在进行的项目也没有受到威胁,预计下周将全面恢复系统。

从申明上看该企业还是很负责的,对自己的客户并没有隐瞒受黑客攻击的事实,同时还采取了积极的应对方式,寻求安全专家对企业事件进行取证分析。

随着云计算的发展,越来越多的黑客组织开始将目标瞄准云计算业务,最近出现的一些新型的勒索病毒都开始针对VMWare EXSi服务器进行攻击,前不久笔者分享了Black Basta勒索病毒的分析文章,今天再给大家分析一下RedAlert这款新型的勒索病毒。

详细分析

1.从样本反编译的注释中可以发现该勒索病毒被其黑客组织内部称为N13V,如下所示:

2.该勒索病毒可传递的参数,如下所示:

通过不同的参数执行不同的操作。

3.使用-w参数,使用esxcli命令强制关闭VM虚拟机服务器,如下所示:

4.使用-p参数,加密指定目录的文件,如下所示:

生成的加密配置文件内容,如下所示:

加密完成之后,会在当前目录生成勒索提示信息文件HOW_TO_RESTORE,内容如下所示:

通过分析该勒索提示信息文件,可以发现黑客组织应该是使用了自定义的勒索病毒样本攻击受害者,每个受害者都会生成特定的勒索提示信息以及相应的暗网网站地址,即一个受害者对应一个勒索提示信息和一个暗网网站数据地址链接,在入侵企业网络之后通过该勒索病毒RAAS平台生成对应的勒索病毒攻击样本。

5.使用-x进行该勒索病毒加密性能测试,如下所示:

6.加密后的文件后缀名为crypt658,如下所示:

7.初始化硬编码的公钥加密密钥信息,利用NTRUEncrypt公钥加密算法,如下所示:

并将密钥信息写入到配置文件当中,生成该勒索病毒的配置文件信息,如下所示:

8.遍历磁盘目录文件,如下所示:

如果是以下后缀名列表的文件,则加密该文件,需要加密的文件名后缀列表,如下所示:

9.使用ChaCha20-Poly1305加密算法加密文件,如下所示:

10.加密完成之后,生成勒索提示信息文件,如下所示:

勒索提示信息内容,如下所示:

到此这款新型的勒索病毒算是分析完了,该勒索病毒使用了新式加密算法,涉及到的加密算法主要为:NTRUEncrypt和ChaCha20-Poly1305,从勒索提示信息文件可以发现该勒索病毒攻击应该主要以人工定向攻击活动为主,针对特定的企业进行攻击,盗取企业重要数据之后,再使用勒索病毒RAAS平台生成对应的勒索病毒家族样本,进行加密勒索,目前该勒索病毒暂未发现有大规模的攻击活动,但各企业需要保持警惕,勒索病毒黑客组织一直在寻找新的攻击目标,全球各地勒索攻击威胁事件每天都在发现,各大主流勒索病毒暗网网站上有受害者正在不断增加。

一些主流的APT组织也已经加入到勒索攻击活动当中,从以前单一的勒索攻击到现在发展成四重勒索攻击(加密勒索、数据窃取、DDoS攻击、骚扰攻击受害者企业的客户),黑客组织仍然在不断更新他们的运营模式,勒索攻击在未来几年仍然会非常流行,同时也仍然是企业面临的最大的安全威胁之一,随着一些老牌成熟APT黑客组织的加入,会让勒索攻击变的更加复杂与多变,勒索攻击的技术也会越来越高级。

总结

针对Linux平台的勒索病毒最近一两年开始变得活跃,几大主流的勒索病毒黑客组织都纷纷加入到对Linux平台的勒索攻击活动当中,同时黑客组织也在不断开发新型勒索病毒家族,由于此前Conti和Babuk两款主流勒索病毒源代码被泄露,最近出现的一些新型的勒索病毒家族变种就是基于这两款开源代码进行二次修改开发的,RedAlert的出现让针对Linux平台的勒索病毒又增加了一名新的家族成员,可以预测随着云计算的发展未来会有更多针对Linux平台的新型勒索病毒出现。

其实针对Linux平台的恶意软件家族也分为很多种类,此前Linux平台上的恶意软件家族大多数以XorDDoS/BillGates等僵尸网络以及各种挖矿木马(TeamTNT、WorkMiner、DDG、8220)为主,随着基于Linux平台IOT物联网设备的流行与发展,在这些平台上黑客开发出了各种基于Linux平台的IOT物联网僵尸网络家族,其中代表性的两大家族就是Mirai和Mozi,随着云计算的发展,越来越多的云计算服务器是基于Linux平台的,勒索病毒黑客组织也将攻击目标转向云计算,导致Linux平台上的勒索病毒家族也开始流行起来,Linux平台上不仅仅只有僵尸网络、勒索病毒,还包含各种木马远控后门(Rekoobe、OldFox、HabitsRAT、BellaRAT、TheFatRAT、Symbiote等),一些APT黑客组织(HackingTeam、Lazarus、Turla、Equation、SideCopy等)也早就在开发基于Linux平台的恶意软件,黑客组织会通过各种不同的手段来传播这些恶意软件,目前主流的一些手段主要就是:钓鱼水坑攻击、供应链攻击、网站挂马、捆绑软件、社会工程、以及利用曝光的一些最新的漏洞等,全球每天都在发现各种安全威胁事件,其中大部分的安全事件都与恶意软件有关,这些恶意软件会针对攻击目标的重要数据进行窃密、破坏和勒索,比方APT组织的窃密木马后门恶意软件,俄乌网络战中Wiper破坏性恶意软件家族,还有现在最流行的勒索病毒恶意软件等,全球比较流行的与恶意软件相关的攻击事件包含勒索攻击、挖矿木马、僵尸网络、APT窃密攻击以及各种博彩黑灰产挂马攻击等。

笔者一直从事与恶意软件研究相关的工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,这些恶意软件家族涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS),笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本,跟踪国内外报道的各种安全事件中涉及到的攻击样本等,通过详细分析这些安全事件中涉及的样本、漏洞和攻击技巧等,可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等,同时还可以推判出他们大概准备做什么,发起哪些攻击活动,以及客户可能会受到什么危害等,各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者,感谢给笔者提供样本的朋友们!

做安全,不忘初心,与时俱进,方得始终!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/253804.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024年:用OKR管理你的生活

在科技高速发展的时代,越来越多的企业和团队开始采用OKR(Objectives and Key Results)管理方法来设定目标并跟踪进度。你是否想过,将OKR理念引入个人生活,以更有效地实现人生目标?本文将探讨如何在2024年运…

国产三维剖面仪—MPAS-100相控参量阵浅地层剖面仪

最近声学所东海站邹博士发来了他们最新的浅地层剖面仪—MPAS-100相控参量阵浅地层剖面仪的资料,市场型号GeoInsight,委托Ocean Physics Technology公司销售,地大李师兄的公司负责技术支持。 MPAS-100相控参量阵浅地层剖面仪就是俗称的三维浅…

『运维备忘录』之 Ansible 自动化运维工具

一、简介 Ansible是基于Python开发,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能的自动化运维工具,广泛用于配置管理、应用部署以及任务协…

07:Kubectl 命令详解|K8S资源对象管理|K8S集群管理(重难点)

Kubectl 命令详解|K8S资源对象管理|K8S集群管理 kubectl管理命令kubectl get 查询资源常用的排错命令kubectl run 创建容器 POD原理pod的生命周期 k8s资源对象管理资源文件使用资源文件管理对象Pod资源文件deploy资源文件 集群调度的规则扩容与缩减集群更…

计算机网络-无线通信技术与原理

一般我们网络工程师接触比较多的是交换机、路由器,很少涉及到WiFi和无线设置,但是呢在实际工作中一般企业也是有这些需求的,这就需要我们对于无线的一些基本配置也要有独立部署能力,今天来简单了解一下。 一、无线网络基础 1.1 无…

Linux(三)--文件系统

Linux命令简介 [rootlocalhost ~]# 表示 Linux 系统的命令提示符。 []:这是提示符的分隔符号,没有特殊含义。 root:显示的是当前的登录用户,笔者现在使用的是 root 用户登录。 :分隔符号,没有特殊含义。 l…

PyTorch 2.2 中文官方教程(四)

torch.nn 到底是什么? 原文:pytorch.org/tutorials/beginner/nn_tutorial.html 译者:飞龙 协议:CC BY-NC-SA 4.0 注意 点击这里下载完整示例代码 作者: Jeremy Howard,fast.ai。感谢 Rachel Thomas 和 Fr…

Vue.js设计与实现(霍春阳)

Vue.js设计与实现 (霍春阳) 电子版获取链接:Vue.js设计与实现(霍春阳) 编辑推荐 适读人群 :1.对Vue.js 2/3具有上手经验,且希望进一步理解Vue.js框架设计原理的开发人员; 2.没有使用过Vue.js,但对Vue.js框架设计感兴趣…

深度学习系列56:使用whisper进行语音转文字

1. openai-whisper 这应该是最快的使用方式了。安装pip install -U openai-whisper,接着安装ffmpeg,随后就可以使用了。模型清单如下: 第一种方式,使用命令行: whisper japanese.wav --language Japanese --model…

算法随想录第五十二天打卡|300.最长递增子序列 , 674. 最长连续递增序列 , 718. 最长重复子数组

300.最长递增子序列 今天开始正式子序列系列,本题是比较简单的,感受感受一下子序列题目的思路。 视频讲解:动态规划之子序列问题,元素不连续!| LeetCode:300.最长递增子序列_哔哩哔哩_bilibili 代码随想录…

SpringBoot3整合Mybatis-Plus,自定义动态数据源starter

文章目录 前言正文一、项目总览二、核心代码展示2.1 自定义AbstractRoutingDataSource2.2 动态数据源DynamicDataSource2.3 动态数据源自动配置2.4 动态数据源上下文DynamicDataSourceContextHolder2.5 动态数据源修改注解定义2.6 修改切面DynamicDataSourceAspect2.7 动态数据…

【RT-DETR有效改进】计算训练好权重文件对应的FPS、推理每张图片的平均时间(科研必备)

👑欢迎大家订阅本专栏,一起学习RT-DETR👑 一、本文介绍 本文给大家带来的改进机制是利用我们训练好的权重文件计算FPS,同时打印每张图片所利用的平均时间,模型大小(以MB为单位),同时支持batch_size功能的选择,对于轻量化模型的读者来说,本文的内容对你一定有…

GEE数据集——全球保护价值的地区数据集

具有全球保护价值的地区 自然地图项目提供了一系列全球价值保护图层。这些地图是通过共同优化生物多样性和碳和/或水等国家保护目标绘制的。它们以连续的比例描述了对扩大保护工作具有最大潜在价值的土地面积。前言 – 人工智能教程 注释 此处的 "保护 "不应被理解为…

【Flink入门修炼】1-3 Flink WordCount 入门实现

本篇文章将带大家运行 Flink 最简单的程序 WordCount。先实践后理论,对其基本输入输出、编程代码有初步了解,后续篇章再对 Flink 的各种概念和架构进行介绍。 下面将从创建项目开始,介绍如何创建出一个 Flink 项目;然后从 DataStr…

春运也要“信号升格”:中兴通讯助运营商打造高铁精品网

一年一度的春运,承载了游子的思乡情。据官方预计,今年春运跨区域人员流动量将达到90亿人次,创下历史新高,铁路、公路、水路、民航等营业性客运量全面回升,其中铁路预计发送旅客4.8亿人次,日均1200万人次&am…

使用yolo训练自己的模型

YOLO(You Only Look Once)是一种用于目标检测的深度学习模型,旨在实时检测图像或视频中的多个对象。与传统的目标检测方法不同,YOLO一次性处理整个图像,而不是通过滑动窗口或区域提议进行多次检测。这种方法使得YOLO在…

使用虚拟主机部署多站点

网站目录权限的管理和虚拟主机的配置。 目录权限控制

基于hadoop+spark的大规模日志的一种处理方案

概述: CDN服务平台上有为客户提供访问日志下载的功能,主要是为了满足在给CDN客户提供服务的过程中,要对所有的记录访问日志,按照客户定制的格式化需求以小时为粒度(或者其他任意时间粒度)进行排序、压缩、打包,供客户进行下载,以便进行后续的核对和分析的诉求。而且CDN…

C++实现鼠标点击和获取鼠标位置(编译环境visual studio 2022)

1环境说明 2获取鼠标位置的接口 void GetMouseCurPoint() {POINT mypoint;for (int i 0; i < 100; i){GetCursorPos(&mypoint);//获取鼠标当前所在位置printf("% ld, % ld \n", mypoint.x, mypoint.y);Sleep(1000);} } 3操作鼠标左键和右键的接口 void Mo…

BVH动画绑骨蒙皮并在Unity上展示

文章目录 Blender绑定骨骼Blender蒙皮Blender中导入bvh文件将FBX导入Unity Blender绑定骨骼 先左上角红框进入model模式&#xff0c;选中要绑定的模型&#xff0c;然后进入Edit模式把骨骼和关节对齐。 &#xff08;选中骨骼&#xff0c;G移动&#xff0c;R旋转&#xff09; 为…