热门搜索词

热门文章

  • 功能 | 平台登录安全策略升级及二次认证...

    为了进一步提升平台账号的安全性,防止因数据泄露导致的配置篡改等风险,我们近期对平台的登录安全策略进行了全面的加固与升级。此次升级的核心在于引入了二次认证机制,该机制能够在账号触发异常登录行为时,要求用户再次进行身份验证,从而有效增强账号的保护力度。

  • [公告]11月6日关于报表及日志服务维护...

    接运营商通知,北京时间 2024-11-06 00:00~06:00 将对报表及日志服务所在机房进行割接维护。在此期间,可能会导致报表查询/下载及日志下载不可用。若您有相关操作需求,请避开此时段进行。

  • [公告]11月2日知道创宇云防御平台升级...

    知道创宇云防御平台将于北京时间 2024-11-02 01:00 至 2024-11-02 03:00 进行升级维护。升级时间预计两小时,在此期间,知道创宇云防御平台将暂停访问,若您有需要通过云防御平台进行操作的需求,请避开此时间段,提前或在升级完成后进行处理。

关注知道创宇云防御

获取最新安全动态

新的勒索软件被发现可以利用虚拟机发动攻击

来源:cnBeta.COM 2021.06.25

据赛门铁克威胁猎手团队称,网络犯罪分子正在通过虚拟机运行越来越多的恶意载荷。Help Net Security调查了一次尝试性的勒索软件攻击,该攻击是通过在一些被攻击的电脑上创建的VirtualBox虚拟机执行的。与记录的RagnarLocker攻击使用Windows XP的虚拟机不同,新的威胁似乎是运行Windows 7

​​​​​​​

此外,根据赛门铁克威胁猎手团队的Dick O'Brien的说法,该虚拟机是通过一个恶意的可执行程序部署的,该程序在行动的侦察和横向移动阶段就已经被预先安装。

到目前为止,研究人员无法确定虚拟机中的恶意软件载荷是Mount Locker还是Conti勒索软件。后者在Endpoint安全软件被检测到,需要一个用户名和密码组合,这是以前Conti勒索软件活动的特征。假设该恶意软件驻留在虚拟机的硬盘上,一旦操作系统被完全启动,恶意程序就可以跟随自动启动。可执行文件会检查主机是否是活动目录控制器,而在其他情况下,它采用俄罗斯键盘布局来识别,如果是的话就终止操作。

赛门铁克威胁猎手团队解释说:"一种可能的解释是,攻击者是一个同时拥有Conti和Mount Locker控制权限的恶意软件联盟团伙。他们可能试图在虚拟机上运行一个有效载荷(无论是Conti还是Mount Locker),当它判断无法工作时,选择在主机上保底运行Mount Locker。"

我们知道,大多数攻击者和勒索软件运营者喜欢使用合法的、非目的性的工具来加强他们的活动,同时尽可能长时间地保持不被发现。

售前支持

400-161-0866