危險預警

近日天融信諦聽實驗室捕獲一起Mallox勒索病毒攻擊事件，黑客在成功侵入內網后下發勒索病毒文件，勒索病毒運行后迅速加密數據庫文件，在文件名后附加“ .consultraskey-ID號”、“.Mallox”等后綴來重命名所有加密文件，導致文件不可用，影響業務運行，同時還會嘗試在內網中橫向移動，獲取更多設備的權限并進一步擴散，危害性極大。

Mallox勒索病毒家族又被國外稱作Target Company，于2021年10月進入中國，該家族主要針對企業的Web應用發起攻擊，包括Spring Boot、Weblogic、通達OA等。天融信EDR系統、自適應安全防御系統、過濾網關系統、僵尸網絡木馬和蠕蟲監測與處置系統，以及新版本的入侵檢測系統、入侵防御系統等產品均可精確檢測并查殺該勒索病毒，為終端提供全面的安全防護，有效阻止該事件蔓延。

病毒分析

Mallox勒索病毒最新變種的加載器采用C#編寫，函數名稱嚴重混淆且中間添加了很多垃圾運算指令，這給沙箱自動化分析和人工逆向都帶來了不小的困難。

樣本運行后首先會使用Sleep方法設置隨機數進行長時間睡眠，以此來規避沙箱的自動化分析。

在睡眠時間結束后，進程會解密出大小為0x4A800h大小C#編寫的PE文件，該PE文件同樣被混淆。

本體軟件使用Invoke方法創建脫離原始進程調用鏈的新進程，最終會在內存中展開并運行C++和C語言編寫的勒索母體，開始執行真正的惡意代碼。

惡意代碼先嘗試從IP地址為91.243.44[.]32的服務器下載F.bat，如果服務器失活下載失敗，則不會表現出后續的惡意行為而退出。

F.bat的主要功能是停止MSSQL、SQL Server、Oracle常見數據庫相關的進程、服務并強制刪除相關注冊表，除此之外還對Kingdee ERP系統進行攻擊。針對國內廠商軟件，停止并結束阿里云服務、百度網盤、360瀏覽器醫生、QQ安全防護等進程。

C++和C語言編寫的勒索母體在加密過程中排除的文件后綴如下：

.lnk,.exe,.nls,.shs,.themepack,.bin,.msp,.wpx,.deskthemepack,.diagpkg,.icns,.ani,.msc,.ico,.cmd,.msu,.diagcfg,.cab,.prf,.ocx,.theme,

scr,.mod,.diangcab,.adv,.bat,.drv,.rom,.mpa,.key,.msi,.spl,.com,.hlp,.ics,.cpl,.lock,.cur,.hta,.dll,.nomedia,.sys,.rtp,.idx,.icl,.msstyles。

Mallox勒索軟件在加密文件的過程中會排除包含以下字符串的文件目錄。

Mallox勒索軟件最終加密文件使用的是chacha20 算法，chacha20 算法是salsa20 流密碼的一種變體，該對稱算法可在短時間內加密主機所有文件。

通信并發送主機的主機名、域控名稱及磁盤設備的型號信息。

在遍歷文件進行加密時，Mallox勒索會在被加密文件的目錄下釋放告知信INFORMATION.txt，告知受害者文件已經被加密，并留下受害ID和黑客的聯系方式。

最終勒索病毒通過執行以下cmd命令防止被加密文件的恢復：

Cmd /c bcdedit /set {current} bootstatuspolicy ignoreallfailures

Cmd /c bcdedit /set {current} recoveryenabled no

delete shadows /all /quiet

樣本IOCs列表

防護建議

1、及時修復系統及應用漏洞，降低被Mallox勒索病毒通過漏洞入侵的風險。

2、加強訪問控制，關閉不必要的端口，禁用不必要的連接，降低資產風險暴露面。

3、更改系統及應用使用的默認密碼，配置高強度密碼認證，并定期更新密碼，防止弱口令攻擊。

4、可安裝天融信安全產品加強防護，天融信EDR系統、自適應安全防御系統、過濾網關系統等均可有效防御該勒索病毒。

遇到病毒不要慌

天融信馬上幫您防御

天融信EDR系統防御配置

● 依托基因識別技術針對Mallox勒索病毒種族核心精準識別，高效解決變種問題，通過創建周期掃描任務，定時對主機進行全面清理，消除安全隱患。

● 通過微隔離策略加強訪問控制，降低橫向感染風險。

● 開啟文件實時監控功能，可有效預防和查殺該勒索病毒。

● 開啟系統加固功能，可有效攔截該勒索病毒對系統關鍵位置進行破壞和篡改。

天融信自適應安全防御系統防御配置

● 通過微隔離策略加強訪問控制，降低橫向感染風險。

● 通過風險發現功能掃描系統是否存在相關漏洞和弱口令，降低風險、減少資產暴露。

● 開啟病毒實時監測功能，可有效預防和查殺該勒索病毒。

天融信過濾網關系統防御配置

● 針對 Mallox勒索病毒不斷變換特征，變種出現速度極快的特點，可深度分析檢測，精準識別變種家族。

● 針對HTTP、FTP、POP3、SMTP、IMAP等常用文件傳輸協議配置深度檢測，防止病毒通過網關進入內部網絡，消除內網終端和服務器的感染風險。

● 啟用實時檢測、告警服務。

● 升級到最新病毒特征庫，并啟用自動更新服務。

產品獲取方式

天融信自適應安全防御系統、天融信EDR系統企業版試用：可通過天融信全國分支機構獲取（查詢網址：http://www.jinri-gushi.com/contact/）

天融信EDR系統單機版下載地址：http://edr.topsec.com.cn

天融信過濾網關系統、僵尸網絡木馬和蠕蟲監測與處置系統、入侵檢測系統、入侵防御系統等產品特征庫下載地址：ftp://ftp.topsec.com.cn）

TOPSEC

近幾年來，勒索攻擊事件頻繁發生，且在數量上逐年增多。天融信將始終堅持自主創新與核心技術攻關，持續推出創新性的產品、服務與方案，由邊界到終端、靜態到動態、單點到全域，全方位保障客戶網絡安全。