IT之家 11 月 10 日消息，Magniber 是一種利用 IE 漏洞的無文件勒索病毒，它此前對眾多韓國用戶造成嚴重損害。如果相關安全部門無法在漏洞發(fā)生初期發(fā)現(xiàn)并加以阻斷，則很難防止其進一步感染，這使得安全軟件難以檢測。

Magniber 勒索軟件自 2021 年 3 月 15 日以來使用 CVE-2021-26411 漏洞進行分發(fā)，直到最近被發(fā)現(xiàn)改為 CVE-2021-40444 漏洞。

值得一提的是，這是 9 月 14 日微軟推送安全補丁后的最新漏洞，目前大部分用戶都有被感染的風險。（僅在 Win10/Win11 環(huán)境中發(fā)生變化，其他環(huán)境中仍在利用 CVE-2021-26411）。

現(xiàn)有安全人員發(fā)現(xiàn)，Magniber 勒索病毒近期攻擊事件頻發(fā)，全國多地都有網(wǎng)民受到影響。

360 安全人員透露，該勒索病毒利用 CVE-2021-40444 漏洞進行傳播，還使用 PrintNightmare 漏洞進行提權，危害程度更甚以往。根據(jù)分析，該病毒主要通過色情網(wǎng)站的廣告位傳播。

自 11 月 5 日開始，他們便收到了大量感染 Magniber 勒索病毒的求助，同時檢測到 CVE-2021-40444 漏洞攻擊攔截量有較明顯上漲。經(jīng)分析追蹤發(fā)現(xiàn)，這是一起掛馬攻擊團伙，從使用的技術、攻擊手法可以看出，這也是一個技術精良的黑客組織，同時由于此次掛馬網(wǎng)站主要面向國內(nèi)，對普通網(wǎng)民都有重大影響。

安全人員表示，該黑客團伙主要通過在色情網(wǎng)站（也存在少部分其它網(wǎng)站）的廣告位上，投放植入帶有攻擊代碼的廣告，當用戶訪問到該廣告頁面時，就有可能中招，感染勒索病毒。

據(jù)悉，漏洞出現(xiàn)時，該勒索病毒會在下圖路徑中創(chuàng)建一個名為 calc.inf 的文件。Magniber 勒索軟件隨后由一個名為 control.exe 的普通 Windows 進程加載。

2021/09/16：%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\ calc.inf

2021/09/17：%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\ winsta.inf

下圖展示了漏洞發(fā)生時 iexplore.exe->control.exe 形式的調(diào)用過程以及 calc.inf 文件的操作過程。

下圖顯示了文件名為 calc.inf 的 Magniber 的分布是在 2021 年 9 月 16 日 09:00 之后開始的，V3 檢測日志大約有 300 個案例。

受影響的操作系統(tǒng)

Windows 8.1、RT 8.1

Windows 10：1607、1809、1909、2004、20H2、21H1

Windows Server 2008 SP 2、2008 R2 SP 1

Windows Server 2012、2012 R2

Windows Server 2016、2019、2022

Windows Server 2004、20H2 版

關鍵詞： 漏洞 廣告位 色情網(wǎng)站 病毒 calc magniber勒索 cve-2021-40444 黑客