勒索攻击和数据擦除攻击的证书签名全是哪来的

一次大规模的网络袭击在阿尔巴尼亚的传媒界引起了广泛的关注和报导，该攻击影响了阿尔巴尼亚政府的电子政务系统。后来经过调查，这些网络攻击是一个威胁活动的一部分，其目的可能是瘫痪该国的计算机系统。

在这篇文章中，我们介绍了：

1.用于针对阿尔巴尼亚个机构的第一波和第二波勒索程序和擦除式恶意程序，并一览无遗的详细说明了与之前提到的已知的ROADSWEEP恶意软件勒索服务器程序和ZEROCLEARE恶意软件变体的联系。

2.攻击者使用英伟达(Nvidia)和科威特电信公司(Kuwait Telecommunications Company)的证书来签署他们的恶意程序，前者已经泄露，但我们不确定他们是如何得到后者的。

虽然我们无法在分析的攻击中确定攻击者的初始入口点，但在第二波攻击后的几天，我们注意到有攻击者可以访问另一个非政府但重要的阿尔巴尼亚机构的AnyDesk帐户，并建议说波斯语的黑客使用它来部署勒索程序或清除恶意程序。由此我们推测，第二波攻击的初始入口点是通过合法的远程访问程序(如AnyDesk)，特别是使用的擦除攻击修改仅限在驱动程序安装时自动执行，由于时间/访问窗口有限，可能需要紧急执行。网络攻击者和访问服务器的提供者似乎总是属于不同的攻击组织，或者是使用截然不同的语言。

在初始执行后，第二波勒攻击中使用搜索程序检查攻击者提供的任意六个或更多参数，而第一波勒样本则检查五个参数或更多，这是一个有助于防御逃避检测的小修改。然而，在一台受影响的计算机上进行的攻击分析表明，在第二波攻击中，攻击者在提供类似于第一波攻击的七位数时，没有使用BAT文件调用勒索程序，而是使用六个零“000000”从命令行立即调用第二波攻击中使用的勒索程序。当然，这并不意味着我们可以放松警惕，毕竟，在网络安全领域，我们还有很多工作要做。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!