Magniber 是一种使用 IE 漏洞无文件勒索病毒对许多韩国用户造成了严重损害。如果相关安全部门在漏洞发生初期无法发现和阻断,则难以防止进一步感染,使安全软件难以检测。
Magniber 自2021年 3 月 15日以来,自 CVE-2021-26411直到最近才发现 漏洞被分发CVE-2021-40444 漏洞。
值得一提的是,这是微软在9月 14日推送安全补丁后的最新漏洞。目前,大多数用户都有感染的风险。(仅在 Win10/Win11 环境发生变化, 仍在其他环境中使用CVE-2021-26411)。
现有安全人员发现,Magniber 近期勒索病毒攻击频发,全国很多地方都受到网民的影响。
360 安全人员透露,勒索病毒使用 CVE-2021-40444 漏洞漏洞,也使用 PrintNightmare 漏洞提权,危害更大。根据分析,病毒主要通过色情网站的广告空间传播。
自11 月5日以来,他们收到了大量感染 Magniber 同时检测到 勒索病毒的帮助CVE-2021-40444 漏洞攻击拦截量大幅增加。经分析跟踪发现,这是一个挂马攻击团伙。从使用的技术和攻击技术可以看出,这也是一个熟练的黑客组织。同时,由于挂马网站主要面向中国,对普通网民影响很大。
安全人员表示,黑客团伙主要通过在色情网站(也有少数其他网站)的广告空间放置具有攻击代码的广告。当用户访问广告页面时,他们可能会被抓住并感染勒索病毒。
当漏洞出现时,勒索病毒将在下图路径中创建一个名为 calc.inf 的文件。Magniber接着是 勒索软件control.exe 的普通 Windows 工艺加载。
- 2021/09/16:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\calc.inf
- 2021/09/17:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\winsta.inf
下图显示了漏洞发生时 iexplore.exe->control.exe 形式的调用过程和 calc.inf 文件操作过程。
下图显示了文件名称 calc.inf 的 Magniber 分布始于 2021年 9 月 16日 09:00 ,V3 大约有300个检测日志病例。
操作系统受影响
- Windows 8.1、RT 8.1
- Windows 10:1607,1809,1909,200420H2、21H1
- Windows Server 2008 SP 2、2008 R2 SP 1
- Windows Server 2012、2012 R2
- Windows Server 2016、2019、2022
- Windows Server 2004、20H2 版