近日,Microsoft SQL (MS-SQL) 服務(wù)器遭到攻擊����,因其安全性較差���,入侵者進(jìn)入服務(wù)器后直接安裝了 Trigona 勒索軟件,并加密了所有文件����。
入侵者是利用了那些極易被猜到的帳戶憑據(jù)為突破點(diǎn),暴力攻擊了MS-SQL 服務(wù)器����,并安裝了名為CLR Shell的惡意軟件����,這次攻擊是被韓國網(wǎng)絡(luò)安全公司AhnLab的安全研究人員發(fā)現(xiàn)的��。
這種惡意軟件專門用于收集系統(tǒng)信息�����,還可以直接更改那些被入侵的帳戶配置��。此外���,該軟件還可以利用Windows輔助登錄服務(wù)中的漏洞將特權(quán)升級到LocalSystem,不過想完成這個操作需要啟動勒索軟件����。AhnLab表示,CLR Shell是一種CLR匯編惡意軟件�����,該軟件在接收入侵者的命令后可直接執(zhí)行惡意入侵行為��,運(yùn)行模式有點(diǎn)類似于web服務(wù)器的webshell�。
【資料圖】
然后入侵者會在下一階段安裝一個惡意軟件dropper,用作svcservice.exe服務(wù)���,繼而就能啟動Trigona勒索軟件���,作為svchost.exe��。此外����,他們還會配置勒索軟件二進(jìn)制文件����。在每次系統(tǒng)重新啟動時(shí),通過Windows自動運(yùn)行密鑰自動啟動�����,以確保系統(tǒng)在重新啟動后仍處于被加密的狀態(tài)���。
在拿到贖金前����,這個惡意軟件會禁用系統(tǒng)針對Windows卷影副本進(jìn)行恢復(fù)��、刪除的相關(guān)操作����,所以要想恢復(fù)系統(tǒng)必須要有解密密鑰。
Trigona勒索信�,圖源:BleepingComputer
2022年10月,MalwareHunterTeam首次發(fā)現(xiàn)了該惡意軟件��。在贖金方面�,Trigona勒索軟件僅接受門羅幣加密貨幣。
Trigona會加密受害者設(shè)備上的所有文件����,除了特定文件夾中的文件,包括Windows和Program files目錄��。該軟件通過添加“._locked”為擴(kuò)展名�,以重命名加密文件,并在每個被鎖定的文件中嵌入加密的解密密鑰��、活動ID和受害者ID(公司名稱)��。在進(jìn)行這些加密操作之前���,該團(tuán)伙還聲稱已經(jīng)竊取到了一些敏感文件�,并且表示這些文件將被放到暗網(wǎng)上���。
該軟件還會創(chuàng)建名為“how_to_decrypt”的贖金筆記�����。每個文件夾中都包含一些入侵系統(tǒng)的信息����,比如Trigona Tor協(xié)商網(wǎng)站的訪問鏈接,以及包含登錄協(xié)商網(wǎng)站所需的授權(quán)密鑰��。
Trigona樣本提交(ID勒索軟件)
自今年年初以來����,Trigona勒索軟件團(tuán)伙已經(jīng)發(fā)起了多次攻擊事件。據(jù)統(tǒng)計(jì)����,僅向ID勒索軟件平臺發(fā)起的攻擊事件至少有190起。
