|
[1081106]【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路
影響等級:低
內容更新 : 2019-11-20
發現時間:2019-11-06 原標題名稱:【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路 轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201911-0001 本中心接獲國際情資,駭客利用Lemon_Duck PowerShell嘗試利用EternalBlue SMB漏洞,暴力攻擊MS-SQL服務或Pass-the-hash攻擊系統,迴避資安防禦機制,入侵終端系統執行惡意勒索並散播惡意程式。 受感染系統會以下列方式散播: 1. EternalBlue:SMB漏洞利用。 2. USB和網路磁碟:腳本會將惡意Windows *.lnk shortcut files與DLL files寫入感染系統中的USB或連線的網路磁碟機中,並透過Windows *.lnk漏洞(CVE-2017-8464)散播惡意程式。 3. Startup file:腳本將惡意檔案寫入Windows系統上的啟動位置(如開始中的啟動裡),並在統重啟後執行。 4. MS-SQL Server暴力破解: 使用腳本置中的密碼表嘗試暴力破解SQL Server的SA帳戶。 5. Pass the Hash攻擊: 利用腳本中的hash table執行Pass the Hash攻擊。 6. 使用WMI在遠端系統上執行惡意指令。 7. RDP暴力破解。 攻擊來源資訊: - Potential C2: 27.102.107[.]41 - Potential Brute Force: 113.140.80[.]197 - Port Scanning/Brute force (CN) 120.253.228[.]35 - Port Scanning/Brute force port 3389 (CN) 112.133.236[.]187 - Brute Force port 445 (India) 58.62.125[.]245 - Brute Force port 445/Port Scanning (CN) - Potential Scanning: 58.221.24[.]178 - Port Scanning (CN) 221.4.152[.]250 - Port Scanning port 1433 (CN) 182.140.217[.]226 - Port scanning (CN) 1.202.15[.]246 - Port scanning port 3389 (CN) Additionally the following are potential host indicators: - Scheduled task named Rtsa - Listening port of 65529 - Service with a randomly generated name - Mutexes within PowerShell called LocalIf and LocalMn 此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發 影響平台- 所有Windows系統 建議措施- 1. 安裝Windows SMB 安全更新。 2. 關閉網路芳鄰(SMBv1)。 3. 使用高強度密碼。 4. 安裝Windows CVE-2017-8464 漏洞相關安全更新。 5. 建議封鎖攻擊來源IP。 參考資料- 無
瀏覽數
|
|