新型RedAlert勒索病毒针对VMWare ESXi服务器

news2024/11/15 20:53:22

前言

RedAlert勒索病毒又称为N13V勒索病毒,是一款2022年新型的勒索病毒,最早于2022年7月被首次曝光,主要针对Windows和Linux VMWare ESXi服务器进行加密攻击,到目前为止该勒索病毒黑客组织在其暗网网站上公布了一名受害者,同时该名受害者在其官网上也发布了被黑客攻击的信息,该名受害者企业正在与网络犯罪领域的专家进行取证和溯源工作,并发布了相关的公告,如下所示:

该企业公告表明:尚不能肯定数据库被泄露了,但出于透明度的考虑,已经预防性地通知了客户,根据目前的掌握的情况,攻击者并没有入侵企业的中央数据库,仍然可以通过电子邮件和电话访问,正在进行的项目也没有受到威胁,预计下周将全面恢复系统。

从申明上看该企业还是很负责的,对自己的客户并没有隐瞒受黑客攻击的事实,同时还采取了积极的应对方式,寻求安全专家对企业事件进行取证分析。

随着云计算的发展,越来越多的黑客组织开始将目标瞄准云计算业务,最近出现的一些新型的勒索病毒都开始针对VMWare EXSi服务器进行攻击,前不久笔者分享了Black Basta勒索病毒的分析文章,今天再给大家分析一下RedAlert这款新型的勒索病毒。

详细分析

1.从样本反编译的注释中可以发现该勒索病毒被其黑客组织内部称为N13V,如下所示:

2.该勒索病毒可传递的参数,如下所示:

通过不同的参数执行不同的操作。

3.使用-w参数,使用esxcli命令强制关闭VM虚拟机服务器,如下所示:

4.使用-p参数,加密指定目录的文件,如下所示:

生成的加密配置文件内容,如下所示:

加密完成之后,会在当前目录生成勒索提示信息文件HOW_TO_RESTORE,内容如下所示:

通过分析该勒索提示信息文件,可以发现黑客组织应该是使用了自定义的勒索病毒样本攻击受害者,每个受害者都会生成特定的勒索提示信息以及相应的暗网网站地址,即一个受害者对应一个勒索提示信息和一个暗网网站数据地址链接,在入侵企业网络之后通过该勒索病毒RAAS平台生成对应的勒索病毒攻击样本。

5.使用-x进行该勒索病毒加密性能测试,如下所示:

6.加密后的文件后缀名为crypt658,如下所示:

7.初始化硬编码的公钥加密密钥信息,利用NTRUEncrypt公钥加密算法,如下所示:

并将密钥信息写入到配置文件当中,生成该勒索病毒的配置文件信息,如下所示:

8.遍历磁盘目录文件,如下所示:

如果是以下后缀名列表的文件,则加密该文件,需要加密的文件名后缀列表,如下所示:

9.使用ChaCha20-Poly1305加密算法加密文件,如下所示:

10.加密完成之后,生成勒索提示信息文件,如下所示:

勒索提示信息内容,如下所示:

到此这款新型的勒索病毒算是分析完了,该勒索病毒使用了新式加密算法,涉及到的加密算法主要为:NTRUEncrypt和ChaCha20-Poly1305,从勒索提示信息文件可以发现该勒索病毒攻击应该主要以人工定向攻击活动为主,针对特定的企业进行攻击,盗取企业重要数据之后,再使用勒索病毒RAAS平台生成对应的勒索病毒家族样本,进行加密勒索,目前该勒索病毒暂未发现有大规模的攻击活动,但各企业需要保持警惕,勒索病毒黑客组织一直在寻找新的攻击目标,全球各地勒索攻击威胁事件每天都在发现,各大主流勒索病毒暗网网站上有受害者正在不断增加。

一些主流的APT组织也已经加入到勒索攻击活动当中,从以前单一的勒索攻击到现在发展成四重勒索攻击(加密勒索、数据窃取、DDoS攻击、骚扰攻击受害者企业的客户),黑客组织仍然在不断更新他们的运营模式,勒索攻击在未来几年仍然会非常流行,同时也仍然是企业面临的最大的安全威胁之一,随着一些老牌成熟APT黑客组织的加入,会让勒索攻击变的更加复杂与多变,勒索攻击的技术也会越来越高级。

总结

针对Linux平台的勒索病毒最近一两年开始变得活跃,几大主流的勒索病毒黑客组织都纷纷加入到对Linux平台的勒索攻击活动当中,同时黑客组织也在不断开发新型勒索病毒家族,由于此前Conti和Babuk两款主流勒索病毒源代码被泄露,最近出现的一些新型的勒索病毒家族变种就是基于这两款开源代码进行二次修改开发的,RedAlert的出现让针对Linux平台的勒索病毒又增加了一名新的家族成员,可以预测随着云计算的发展未来会有更多针对Linux平台的新型勒索病毒出现。

其实针对Linux平台的恶意软件家族也分为很多种类,此前Linux平台上的恶意软件家族大多数以XorDDoS/BillGates等僵尸网络以及各种挖矿木马(TeamTNT、WorkMiner、DDG、8220)为主,随着基于Linux平台IOT物联网设备的流行与发展,在这些平台上黑客开发出了各种基于Linux平台的IOT物联网僵尸网络家族,其中代表性的两大家族就是Mirai和Mozi,随着云计算的发展,越来越多的云计算服务器是基于Linux平台的,勒索病毒黑客组织也将攻击目标转向云计算,导致Linux平台上的勒索病毒家族也开始流行起来,Linux平台上不仅仅只有僵尸网络、勒索病毒,还包含各种木马远控后门(Rekoobe、OldFox、HabitsRAT、BellaRAT、TheFatRAT、Symbiote等),一些APT黑客组织(HackingTeam、Lazarus、Turla、Equation、SideCopy等)也早就在开发基于Linux平台的恶意软件,黑客组织会通过各种不同的手段来传播这些恶意软件,目前主流的一些手段主要就是:钓鱼水坑攻击、供应链攻击、网站挂马、捆绑软件、社会工程、以及利用曝光的一些最新的漏洞等,全球每天都在发现各种安全威胁事件,其中大部分的安全事件都与恶意软件有关,这些恶意软件会针对攻击目标的重要数据进行窃密、破坏和勒索,比方APT组织的窃密木马后门恶意软件,俄乌网络战中Wiper破坏性恶意软件家族,还有现在最流行的勒索病毒恶意软件等,全球比较流行的与恶意软件相关的攻击事件包含勒索攻击、挖矿木马、僵尸网络、APT窃密攻击以及各种博彩黑灰产挂马攻击等。

笔者一直从事与恶意软件研究相关的工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,这些恶意软件家族涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS),笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本,跟踪国内外报道的各种安全事件中涉及到的攻击样本等,通过详细分析这些安全事件中涉及的样本、漏洞和攻击技巧等,可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等,同时还可以推判出他们大概准备做什么,发起哪些攻击活动,以及客户可能会受到什么危害等,各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者,感谢给笔者提供样本的朋友们!

做安全,不忘初心,与时俱进,方得始终!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1438956.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【芯片设计- RTL 数字逻辑设计入门 11.2 -- 状态机实现 移位运算与乘法 2】

文章目录 移位运算与乘法parameterparameter 特点parameter 基本语法parameter 示例局部参数局部参数示例 状态机代码实现VCS 仿真结果 文章 【芯片设计- RTL 数字逻辑设计入门 11.1 – 状态机实现 移位运算与乘法 1】 介绍了状态机,本篇文章主要就是使用状态机的方…

Vision Pro 5 月将在中国区发售;全球科技大厂 1 月已裁员 32000 人丨RTE 开发者日报 Vol.145

开发者朋友们大家好: 这里是 「RTE 开发者日报」 ,每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享 RTE (Real Time Engagement) 领域内「有话题的 新闻 」、「有态度的 观点 」、「有意思的 数据 」、「有思考的 文…

Stable Diffusion 模型下载:Disney Pixar Cartoon Type A(迪士尼皮克斯动画片A类)

文章目录 模型介绍生成案例案例一案例二案例三案例四案例五案例六案例七案例八案例九案例十 下载地址 模型介绍 目前还没有一个好的皮克斯迪士尼风格的卡通模型,所以我决定自己制作一个。这是将皮克斯风格模型与我自己的Loras合并在一起,创建一个通用的…

【Transformer(04/10) 】 Hugging Face手册-推理管道

一、说明 这里是Hugging Face手册第四部分,如何使用推理管道;即使您没有特定模式的经验或不熟悉模型背后的底层代码,您仍然可以使用它们通过 pipeline ()进行推理! 二、推理管道 pipeline ()可以轻松使用Hub中的任何模型来推理任…

第三百一十三回

文章目录 1. 概念介绍2. 实现方法2.1 obscureText属性2.2 decoration属性 3. 示例代码4. 内容总结 我们在上一章回中介绍了"如何实现倒计时功能"相关的内容,本章回中将介绍如何实现密码输入框.闲话休提,让我们一起Talk Flutter吧。 1. 概念介绍…

实例分割论文阅读之:《Mask Transfiner for High-Quality Instance Segmentation》

1.摘要 两阶段和基于查询的实例分割方法取得了显著的效果。然而,它们的分段掩模仍然非常粗糙。在本文中,我们提出了一种高质量和高效的实例分割Mask Transfiner。我们的Mask Transfiner不是在规则的密集张量上操作,而是将图像区域分解并表示…

【Django】ORM关系映射

关系映射 在关系型数据库中,通常不会把所有数据都放在同一张表中,不易于扩展,常见的关系映射有: 一对一映射,如一个身份证对应一个人。 一对多映射,如一个班级可以有多个学生。 多对多映射,如…

基于SpringBoot和PostGIS的震中影响范围可视化实践

目录 前言 一、基础数据 1、地震基础信息 2、全国行政村 二、Java后台服务设计 1、实体类设计 2、Mapper类设计 3、控制器设计 三、前端展示 1、初始化图例 2、震中位置及影响范围标记 3、行政村点查询及标记 总结 前言 地震等自然灾害目前还是依然不能进行准确的预…

解密 ARMS 持续剖析:如何用一个全新视角洞察应用的性能瓶颈?

作者:饶子昊、杨龙 应用复杂度提升,根因定位困难重重 随着软件技术发展迭代,很多企业软件系统也逐步从单体应用向云原生微服务架构演进,一方面让应用实现高并发、易扩展、开发敏捷度高等效果,但另外一方面也让软件应…

每日一练:LeeCode-112、路径总和【二叉树+DFS+回溯】

本文是力扣LeeCode-112、路径总和 学习与理解过程,本文仅做学习之用,对本题感兴趣的小伙伴可以出门左拐LeeCode。 给你二叉树的根节点 root 和一个表示目标和的整数 targetSum 。判断该树中是否存在 根节点到叶子节点 的路径,这条路径上所有…

【闲来看源码】分析一下`ArrayUtils.contains()`这个方法的实现

【闲来看源码】分析一下ArrayUtils.contains()这个方法的实现 大家先来看源码 PreAuthorize("ss.hasPermi(system:user:remove)")Log(title "用户管理", businessType BusinessType.DELETE)DeleteMapping("/{userIds}")public AjaxResult remo…

flink反压及解决思路和实操

1. 反压原因 反压其实就是 task 处理不过来,算子的 sub-task 需要处理的数据量 > 能够处理的数据量,比如: 当前某个 sub-task 只能处理 1w qps 的数据,但实际上到来 2w qps 的数据,但是实际只能处理 1w 条&#…

制作离线版element ui文档

链接:https://pan.baidu.com/s/1k5bsCK9WUlZobhFBLItw1g?pwdgeyk 提取码:geyk --来自百度网盘超级会员V4的分享 https://github.com/ElemeFE/element 克隆官方代码 使用nvm切换node版本,推荐使用14.0.0 http://doc.xutongbao.top/doc/#/zh…

田忌赛马 - 华为OD统一考试

OD统一考试(C卷) 分值: 200分 题解: Java / Python / C 题目描述 给定两个只包含数字的数组a,b,调整数组a里面数字的顺序,使得尽可能多的a[i] > b[i]。 数组a和b中的数字各不相同。输出所有可以达到最优结果的a数…

Mac M1使用PD虚拟机运行win10弹出“内部版本已过期立即安装新的windows内部版本”

一、问题 内部版本已过期立即安装新的windows内部版本 二、解决 1、如图所示打开zh-CN目录 C:\windows\system32\zh-CN找到licensingui.exe文件 将该文件重命名为licensingui_bak.exe 2、修改完成效果如下 (1)但操作中发现,需要TrustedIns…

使用阿里云一键部署 幻兽帕鲁服务器 菜鸟教程 一键快速部署

本文通过介绍如何 从购买阿里云服务器(windows系统)、到一键傻瓜式快速部署、再到连接到帕鲁服务器,简介明了,易上手,没相关专业知识的游戏玩家也能一键傻瓜式搭建服务器环境。 背景:最近很火爆的游戏《幻…

HCIA-HarmonyOS设备开发认证V2.0-3.2.轻量系统内核基础-任务管理

目录 一、任务管理1.1、任务状态1.2、任务基本概念1.3、任务管理使用说明1.4、任务开发流程1.5、任务管理接口 一、任务管理 从系统角度看,任务是竞争系统资源的最小运行单元。任务可以使用或等待CPU、使用内存空间等系统资源,并独立于其它任务运行。 O…

设计模式巡礼:多板适配案例解析与深度重构

theme: cyanosis 月黑风高,好兄弟发给我一个重构需求,咨询我的意见。 一、 场景分析 开发的产品是需要运行到不同的定制Android板子,不同板子有对应的不同SDK提供的API,目前的业务端,业务流程基本是确定的&#xff0…

LLM大语言模型(六):RAG模式下基于PostgreSQL pgvector插件实现vector向量相似性检索

目录 HightLightMac上安装PostgreSQLDBever图形界面管理端创建DB 使用向量检索vector相似度计算近似近邻索引HNSW近似近邻索引示例 HightLight 使用PostgreSQL来存储和检索vector,在数据规模非庞大的情况下,简单高效。 可以和在线业务共用一套DB&#…

国产航顺HK32F030M: 超声波测距模块串口通信数据接收与处理

参考代码 /************************************************************************************************** * file usart_async_tx_no_int_rx_rxneint.c * brief 异步串口通信例程, 通过查询TXE标志发送数据,通过RXNE中断接收数据,当中断接收到数据后会将 * …