Mallox(又名targetCompany、FARGO和Tohnichi)是一种针对windows系统的勒索软件。自2021年6月出现以来就一直很活跃,并以利用不安全的MS-SQL 服务器 作为攻击手段来攻击受害者的网络而闻名。
最近,Unit 42的研究人员观察到与去年相比,利用MS-SQL服务器传播勒索软件的Mallox勒索软件活动增加了近174%。研究人员观察到,Mallox勒索软件使用暴力破解、数据泄露和网络扫描仪等工具。此外,有迹象表明,该组织正在扩大其业务,并在黑客论坛上招募成员。
Mallox勒索软件概述
与许多其他勒索软件一样,Mallox勒索软件使用了双重勒索方法:在加密组织文件之前窃取数据,然后威胁将窃取的数据发布在泄露网站上,增加勒索筹码。
下图显示了Tor浏览器上的Mallox勒索软件网站。尽管这些组织的名称和标识已经被涂黑,但这就是该组织展示其目标泄露数据的方式。
每个受害者都有一把私钥,可以与该组织互动并协商条款和付款。下图展示了用于交流的工具。
Mallox勒索软件幕后组织声称有数百名受害者被攻击。虽然受害者的实际人数尚不清楚,但分析显示,全球有潜在受害者已经很多,涉及多个行业,包括制造业、法律服务、批发和零售业。
从2022年下半年到2023年上半年的Mallox攻击尝试
初始访问
自2021年出现以来,Mallox组织一直采用相同的方法获得初始访问权限,该组织以不安全的MS-SQL服务器为目标渗透到网络中。这些攻击从字典暴力攻击开始,尝试针对MS-SQL服务器的已知或常用密码列表。在获得访问权限后,攻击者使用命令行和PowerShell从远程服务器下载Mallox勒索软件负载。
响应由Cortex XDR和XSIAM引发的Mallox勒索软件字典暴力攻击而引发的警报示例
Mallox勒索软件感染的命令行示例:
该命令行执行以下操作:
从hxxp://80.66.75[.]36/aRX.exe下载勒索软件有效负载,并保存为tzt.exe;
运行名为updt.ps1的PowerShell脚本;
接下来,有效负载继续执行以下操作(未在上面显示的命令行脚本中显示):
下载另一个名为system.bat的文件,并将其保存为tzt.bat;
“tzt.bat”文件用于创建名为“SystemHelp”的用户,并启用RDP协议;
使用Windows管理工具(WMI)执行勒索软件有效负载tzt.exe;
下图显示了Cortex XDR和XSIAM如何检测SQL服务器利用的第一阶段。
SQL服务器利用过程(仅限于测试目)
勒索软件执行
在进行任何加密之前,勒索软件有效负载会尝试多种操作以确保勒索软件成功执行,例如:
尝试使用sc.exe和net.exe停止和删除sql相关的服务。这样,勒索软件就可以访问并加密受害者的文件数据。
试图删除卷影,使文件加密后更难被恢复。
删除卷影副本的警报,由Cortex XDR和XSIAM引发
试图使用微软的wevtutil命令行工具清除应用程序、安全、设置和系统事件日志,以阻止检测和取证分析工作;
使用Windows内置的takeown.exe命令修改文件权限,拒绝访问cmd.exe和其他关键系统进程;
防止系统管理员使用bcdedit.exe手动加载系统映像恢复功能;
试图使用taskkill.exe终止与安全相关的进程和服务,以逃避检测;
试图绕过检测反勒索软件产品,如果存在,通过删除其注册表项。下图是整个过程的一个示例。
如下图所示,勒索软件的流程树中显示了上述一些活动:
攻击的完整进程树,如Cortex XDR和XSIAM所示(仅为检测模式)
这个调查的Mallox勒索软件示例使用ChaCha20加密算法对文件进行加密,并为加密的文件添加.malox扩展名。除了使用受害者的名字作为扩展名之外,观察到的其他文件扩展名还有:.FARGO3、.colouse、.avast、.bitenc和.xollam。有关Cortex XDR中加密文件的示例如下图所示。
Cortex XDR检测到的Mallox勒索软件加密的文件示例(仅为检测模式)
Mallox在受害者驱动器的每个目录中都留下了一张勒索信,其中解释了感染情况并提供了联系信息,如下图所示。
执行后,恶意软件会自行删除。
根据其一名成员的说法,Mallox是一个相对较小且封闭的组织。然而,该组织似乎正在通过招募附属公司来扩大业务。
在这次采访几天后,一位名叫Mallex的用户在黑客论坛RAMP上发帖称,Mallox勒索软件组织正在为一个新的Mallox软件即服务(RaaS)分支计划招募分支机构,如下图所示。
早在2022年5月,一位名叫RansomR的用户在著名的黑客论坛上发帖称,Mallox组织正在寻找加入该组织的附属公司。
如果他们的计划取得成功,Mallox组织可能会扩大其覆盖范围,以攻击更多的组织。
总结
Mallox勒索软件组织在过去几个月里更加活跃,如果招募附属机构成功,他们最近的招募工作可能使他们能够攻击更多的组织。
组织应该时刻保持高度警惕,并准备好防御勒索软件的持续威胁。这不仅适用于Mallox勒索软件,也适用于其他勒索软件。
建议确保所有面向互联网的应用程序都配置正确,所有系统都打了补丁并尽可能更新。这些措施将有助于减少攻击面,从而限制攻击。
部署XDR/EDR解决方案来执行内存检查和检测进程注入技术。执行攻击搜索,寻找与安全产品防御逃避、服务帐户横向移动和域管理员相关的用户行为相关的异常行为的迹象。
缓解措施
Palo Alto Networks Cortex XDR检测并阻止Mallox勒索软件执行的文件操作和其他活动。
阻止Mallox执行的终端用户通知
由Cortex XDR和XSIAM引发的可疑文件修改警报(仅为检测模式)
SmartScore是一个独特的机器学习驱动的评分引擎,它将安全调查方法及其相关数据转换为混合评分系统,对涉及Mallox勒索软件的事件进行了100分的评分。这种类型的评分可以帮助分析人员确定哪些事件更紧急,并提供评估原因,帮助确定优先级。
关于Mallox勒索软件事件的SmartScore信息
针对Mallox勒索软件的安全产品要具有以下功能,才能起到有效保护:
识别已知的恶意样本;
高级URL过滤和DNS安全将与该组织关联的域识别为恶意;
通过分析来自多个数据源(包括终端、网络防火墙、Active Directory、身份和访问管理解决方案以及云工作负载)的用户活动来检测基于用户和凭据的威胁。另外,还可以通过机器学习建立用户活动的行为概况。通过将新活动与过去的活动和预期行为进行比较,检测到攻击的异常活动。
请问哪里可以下载刘德华演的电影《监狱战场》和《狱中龙》?(语言要普通话)
前一个找不到,给你一个吧◆原片名称:Yu zhong long(1990) ◆中文译名:狱中龙 ◆类 型:动作/犯罪 ◆影片产地:中国香港 ◆I M D B :◆评 分:4.5/10 (15 votes) ◆对白语言:粤语 ◆字 幕:中文 ◆文件大小:1CD ◆影片长度:102mins ◆导 演:郑则士 Kent Cheng ◆演 员:程东 John Ching .... Skinny Ka-Kui Ho .... Charlie Ma Kenny Ho .... Wayne Victor Hon .... Henry\s Father 黎姿 Gigi Lai .... Winnie Sung 刘德华 Andy Lau .... Fong Lung .... C.K. Chong 黄锦荣 Melvin Wong .... Prison Officer ◆内容简介: 张荣日(何家劲)为一富家子弟,因无法接受母亲再嫁,一时冲动而犯事,被判入劳役中心,受到旧犯的欺凌,幸得同房阿豪(刘德华)相助,成为患难之交。 二人皆是有志青年,不但努力工作,更在「高级程度会考」中考获优良成绩。 出狱后,荣日赴英修读法律,阿豪却因家庭环境所迫,出社会工作。 后因遭黑道人物马超勒索,无计之下,唯有投靠在中心所识朋友,从此加入黑社会。 六年后,荣日学成归来,阿豪亦成为了黑道大哥。 此时马超再次向阿豪施计报复,豪妻(黎姿)被奸杀,阿豪手刃仇人,但亦因此再入狱,荣日决为好友辩护,无奈……
5个字母的英文单词
5个字母的英文单词有很多,比如:valid、crane、smell、spell、brick等。 1、valid 英[vælɪd] 美[vælɪd]adj. 有效的;有根据的;合法的;正当的例句:This ticket isvalidfor three months.这张票在三个月内有效。 2、crane 英[kreɪn] 美[kren]n. 吊车,起重机;鹤vt.& vi. 伸长,探头vi. 迟疑,踌躇例句:We had tocranethem over four-storey houses.我们必须把它们吊过4层高的住房。 3、smell 英 [smel] 美 [smɛl]n.气味;嗅觉;嗅v.嗅;闻;散发气味;有臭味;察觉例句:What is your favourite smell?你最喜欢什么味儿?4、spell 英[spel] 美[spɛl]v.拼写;拼成;导致;暂时代替n.咒语;魔力;一段时间;一阵发作;轮班例句:He cantspell.他不会拼写。 5、brick 英[brɪk] 美[brɪk]n.砖;砖块;砖状物vt.用砖围砌(或堵)例句:Thebrick-paved pedestrian mall at the citys centre was crowded.市中心砖块铺砌的步行街购物中心很是拥挤。
电视购物里的华硕迷你牛笔记本好吗?
从来不相信电视购物!MD,都是骗人的! 网络里搜搜就可以看到有多少案例!
发表评论