읽기 시간 : 5 분
귀하의 이메일 상자에서 미 지방 법원에 소환장을 찾았다면 겁이 나거나 적어도 불안하십니까? 대부분의 사람들은 분명히 그렇게 할 것입니다. 정교하고 교활한 랜섬웨어 페이로드를 사용하여 러시아 기반 IP로부터이 대규모 공격을 수행 할 때 악의적 인 공격자가 계산 한 것입니다.
사회 공학 : 허위 당국은 진정한 두려움을 유발합니다
3582 명의 사용자가“미국 지방 법원”소환장으로 위장한이 악성 이메일의 대상이되었습니다.
보시다시피, 전자 메일은 사용자가 악의적 인 첨부 파일을 열도록 유도하는 사회 공학 기법으로 구성됩니다. 주로 가해자들은 희생자들을 조종하기 위해 감정적 인 두려움, 권위, 호기심을 가지고 노력합니다. 이 정서적 자극 상태를 수용자의 마음에 설치하는 것은 비판적 사고 능력을 억제하고 맹렬하게 행동하게하는 것을 목표로합니다.
또한 발신자의 이메일 주소는 "uscourtgove.com"물론 위조되지만 이메일에 더 많은 신뢰성을 부여합니다. 첨부 파일의 비밀번호를 사용하면 메일의 견고 함을 강화할 수 있습니다. 전자 메일의 제목은 "megaloman"이고 첨부 된 문서의 이름은 "scan.megaloman.doc"이며이 일치 항목은 약간의 신뢰성을 추가합니다. 그리고 만약 그녀가“실패하면 당신에게 책임이있다”(그리고 첨부 파일로 파일을 여는 방법을 찾는 유일한 방법) 인 경우 책임감있게 피해자를 위협하는 것은 케이크 위에 장식하는 것이다.
이 파열 조작 칵테일은 가해자가 원하는 것을 얻을 수 있도록 도와주는 강력한 도구입니다. 따라서 많은 사람들이이 사기에 노출 될 위험이 매우 높습니다.
이제 사용자가 첨부 파일에서 파일을 열면 어떻게되는지 봅시다.
악성 코드 : 먼저 숨기고 공격
물론 소환장과 공통점이 없습니다. 실제로는 코모도 위협 연구소 분석가들은 감염된 컴퓨터의 파일을 암호화하고 몸값을 해독하여 몸값을 해독하는 교활하고 정교한 시그마 랜섬웨어의 새로운 변종입니다.
시그마 랜섬웨어 기능 :
이 새로운 시그마 변형에서 특별한 점은 사용자에게 비밀번호 입력을 요청한다는 것입니다. 음… 멀웨어 암호? 전체적으로 이상하게 들릴 수 있지만 실제로는 탐지의 목적으로 멀웨어를 더 난독 화하는 명확한 목적이 있습니다.
그러나 사용자가 비밀번호를 입력하더라도 파일은 즉시 실행되지 않습니다. 피해자의 컴퓨터에서 매크로를 끄면 확실하게 끄도록 요청합니다. 이것이 어떻게 전체 공격자의 전략에 맞는지 주목하십시오. 법원에서 보낸 메시지 인 경우 확실히 보호 된 문서가 될 수 있습니까?
그러나 실제로이 파일에는 피해자의 컴퓨터에 맬웨어를 설치하기 위해 실행해야하는 악성 VBScript가 포함되어 있습니다. 공격자의 서버에서 맬웨어의 다음 부분을 다운로드하여 % TEMP % 폴더에 저장하고 다음과 같이 위장합니다. svchost.exe를 처리하고 실행합니다. 이 svchost.exe를 맬웨어의 한 부분을 더 다운로드하기위한 스포이드 역할을합니다. 그런 다음 다소 긴 작업 체인을 통해 – 더 강력한 난독 화를 위해 악성 페이로드를 완료하고 실행합니다.
멀웨어는 탐지를 숨기거나 피하는 다양한 트릭으로 정말 인상적입니다. 실행하기 전에 가상 머신 또는 샌드 박스의 환경을 확인합니다. 하나를 발견하면 맬웨어가 스스로 죽입니다. 악의적 인 프로세스 및 레지스트리 항목을 "svchost.exe"및 "chrome"과 같은 합법적 인 것으로 위장합니다. 그게 전부가 아닙니다.
가까운 것과는 달리 랜섬 친척들, Sigma는 즉시 행동하지 않고 숨어 숨어 정찰을 먼저합니다. 귀중한 파일 목록을 생성하고 계수 한 후이 값을 피해자의 컴퓨터에 대한 다른 정보와 함께 C & C 서버로 보냅니다. 파일이 발견되지 않으면 Sigma는 자신을 삭제합니다. 또한 국가 위치가 러시아 연방 또는 우크라이나 인 경우 컴퓨터를 감염시키지 않습니다.
Command-and-Control 서버에 대한 맬웨어 연결도 복잡합니다. 서버가 TOR 기반이므로 Sigma는 일련의 단계를 수행합니다.
1. 다음 링크를 사용하여 TOR 소프트웨어를 다운로드하십시오. https://archive.torproject.org/tor-package-archive/torbrowser/7.0/tor-win32-0.3.0.7.zip
2. System.zip 파일로 % APPDATA %에 저장합니다
3. % APPDATA % MicrosoftYOUR_SYSTEM_ID에 압축을 풉니 다.
4. System.zip을 삭제합니다
Tortor.exe의 이름을 svchost.exe로 바꿉니다.
6. 그것을 실행
7. 잠시 기다렸다가 요청을 보냅니다.
그 후에 만 시그마는 피해자의 컴퓨터에서 파일을 암호화하기 시작합니다. 그러면 몸값 메모가 감염된 컴퓨터의 화면을 캡처합니다.
그리고 ... finita la commedia. 피해자가 이전에 백업을 준비하지 않은 경우 데이터가 손실됩니다. 복원 할 방법이 없습니다.
보호 : 반격하는 법
Comodo의 책임자 인 Fatih Orhan은“사회 공학 기술과 기술 설계가 양면에서 매우 정교한 멀웨어에 직면하는 것은 보안을 아는 사용자에게도 어려운 과제입니다. 위협 연구소. “교활한 공격으로부터 보호하려면 사람들이 인식하는 것보다 더 안정적인 것이 필요합니다. 이 경우 실제 솔루션은 누군가가 사기꾼의 미끼를 가져와 맬웨어를 실행하더라도 자산이 손상되지 않도록 100 % 보증해야합니다.
그것은 정확히 무엇 독점 코모도 자동 억제 기술 알려지지 않은 파일은 안전한 환경에 자동으로 저장되어 호스트, 시스템 또는 네트워크에 해를 끼치 지 않고 실행할 수 있습니다. Comodo 분석가가 조사 할 때까지이 환경에 남아 있습니다. 그렇기 때문에 코모도 고객 중 누구도이 교활한 공격으로 고통받지 못했습니다.”
와 안전한 라이브 코모도!
다음은 공격에 사용 된 히트 맵 및 IP입니다.
공격은 이메일을 통해 32 개의 러시아 기반 (상트 페테르부르크) IP에서 수행되었습니다. Kristopher.Franko@uscourtsgov.com 공격을 위해 특별히 생성 된 도메인 10 년 2018 월 02 일 20:14 UTC에 시작하여 35:XNUMX UTC에 끝났습니다.
국가 | 발신자 IP |
러시아 | 46.161.42.44 |
러시아 | 46.161.42.45 |
러시아 | 46.161.42.46 |
러시아 | 46.161.42.47 |
러시아 | 46.161.42.48 |
러시아 | 46.161.42.49 |
러시아 | 46.161.42.50 |
러시아 | 46.161.42.51 |
러시아 | 46.161.42.52 |
러시아 | 46.161.42.53 |
러시아 | 46.161.42.54 |
러시아 | 46.161.42.55 |
러시아 | 46.161.42.56 |
러시아 | 46.161.42.57 |
러시아 | 46.161.42.58 |
러시아 | 46.161.42.59 |
러시아 | 46.161.42.60 |
러시아 | 46.161.42.61 |
러시아 | 46.161.42.62 |
러시아 | 46.161.42.63 |
러시아 | 46.161.42.64 |
러시아 | 46.161.42.65 |
러시아 | 46.161.42.66 |
러시아 | 46.161.42.67 |
러시아 | 46.161.42.68 |
러시아 | 46.161.42.69 |
러시아 | 46.161.42.70 |
러시아 | 46.161.42.71 |
러시아 | 46.161.42.72 |
러시아 | 46.161.42.73 |
러시아 | 46.161.42.74 |
러시아 | 46.161.42.75 |
총 결과 | 32 |
무료 평가판 시작 인스턴트 보안 점수를 무료로 받으십시오
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://blog.comodo.com/pc-security/subpoena-new-variant-of-sigma-ransomware/
- :있다
- :이다
- :아니
- :어디
- 10
- 14
- 20
- 2018
- 32
- 35%
- 455
- 7
- a
- 능력
- 소개
- 행동
- 행위
- 행위
- 주소
- 추가
- 후
- 다시
- 반대
- 겨냥한
- All
- 따라
- 또한
- 애널리스트
- 및
- 어떤
- 있군요
- 도착하는
- AS
- 자산
- At
- 공격
- 공격
- 권위
- 자동적으로
- 피하기
- 인식
- 백업
- 미끼
- BE
- 되었다
- 전에
- 시작하다
- 시작
- 블로그
- 두
- 양쪽
- 보물상자
- 다발
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- 케이크
- CAN
- 포착
- 케이스
- 원인
- 센터
- 체인
- 도전
- 확인하는 것이 좋다.
- 선명한
- 클릭
- 닫기
- 칵테일
- 공통의
- 완료
- 복잡한
- 컴퓨터
- 실시
- 연결
- 구성
- 납득시키다
- 국가
- 코스
- 법정
- 만든
- 생성
- 신뢰성
- 임계
- 호기심
- 고객
- 데이터
- 해독
- 명확히
- 디자인
- Detection System
- 발견
- 발견
- 지구
- 지방 법원
- do
- 문서
- 하지
- 하지 않습니다
- 도메인
- 다운로드
- 다운로드
- 이메일
- 암호화
- 종료
- 엔지니어링
- 엔터 버튼
- 환경
- 조차
- 이벤트
- 정확하게
- 독점
- 실행
- 떨어지다
- 무서움
- 연합
- 싸우다
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- Find
- finds
- 먼저,
- 맞다
- 맛
- 럭셔리
- 발견
- 무료
- 에
- 기능
- 얻을
- 주기
- 제공
- 보증
- 발생
- 하드
- 해가
- 있다
- 데
- 머리
- 도움
- 그녀의
- 숨는 장소
- 높은
- 주인
- 방법
- How To
- HTTPS
- if
- 바로
- 인상
- in
- 포함
- 감염되는
- 정보
- 설치
- 즉시
- 으로
- IT
- 그
- 그 자체
- JPG
- 다만
- 가장 작은
- 합법적 인
- 처럼
- 아마도
- LINK
- 명부
- 위치
- 긴
- 봐라.
- 잃어버린
- 기계
- 매크로
- 주로
- 확인
- 제작
- 악의있는
- 악성 코드
- .
- 많은 사람
- 거대한
- 경기
- 최대 폭
- XNUMX월..
- 메시지
- Microsoft
- 마음
- 배우기
- 가장
- 절대로 필요한 것
- 이름
- 필요
- 네트워크
- 신제품
- 다음 것
- 아니
- 주의
- 아무것도
- 알아채다..
- nt
- of
- 오프
- on
- ONE
- 사람
- 만
- 열 수
- 열립니다
- or
- 기타
- 우리의
- 아웃
- 부품
- 비밀번호
- 사람들
- 상트페테르부르크
- PHP
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연극
- 가능성
- 유력한
- 이전에
- 먹이
- 방법
- 보호
- 보호
- 보호
- 목적
- 놓다
- 몸값
- 랜섬
- 차라리
- 현실
- 현실
- 정말
- 레지스트리
- 친척
- 신뢰할 수있는
- 요청
- 필요
- 연구
- 책임
- 복원
- 연락해주세요
- 위험
- 달리기
- 달리는
- 실행
- 러시아
- 러시아인
- 러시아 연방
- 셍
- 모래 상자
- 라고
- 사기
- 무서워
- 스코어 카드
- 화면
- 안전해야합니다.
- 보안
- 참조
- 보내다
- 송신기
- 전송
- 순서
- 섬기는 사람
- 그녀
- 뒷면
- 시그마
- 단일
- 작은
- 몰래 하는
- So
- 사회적
- 사회 공학
- 소프트웨어
- solidity
- 해결책
- 일부
- 어떤 사람
- 무언가
- 정교한
- 소리
- 특별한
- 특별히
- 시작
- 주 정부
- 미국
- 유지
- 단계
- 전략
- 강화
- 강한
- 제목
- 소환장
- 이러한
- 고통당한
- 체계
- 소요
- 목표
- 테크니컬
- 보다
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그때
- 그곳에.
- 그들
- 사고력
- 이
- 위협
- 도처에
- 시간
- 에
- 수단
- 바위 산
- 터치
- 시도
- 회전
- 돌린
- 우크라이나
- 알 수없는
- 까지
- us
- 익숙한
- 사용자
- 사용자
- 사용
- 세계 협정시
- 가치 있는
- 가치
- 변형
- 종류
- 대단히
- 를 통해
- 희생자
- 피해자
- 온라인
- 가상 머신
- 기다리다
- 필요
- 였다
- 방법..
- 했다
- 서양의
- 뭐
- 언제
- 어느
- 동안
- 모든
- why
- 의지
- 과
- 겠지
- 자신의
- 너의
- 제퍼 넷