有針對性攻擊的 Samsam 第ㄧ次是在2016年左右首次出現,它瞄準了醫療保健行業並且是一個很典型的勒索軟體,受害者通過點擊惡意鏈接,email 附件或惡意廣告進行感染。 因為 Samsam 直接使用 Red Hat's JBoss產品中的漏洞感染伺服器,所以變得獨一無二。駭客使用 JexBoss:一個開放原始碼滲透測試工具等其他工具來識別 JBoss 伺服器中未修補的漏洞。一旦駭客滲透其中一台伺服器,他們會將 Samsam 安裝到目標中的 Web 應用程序伺服器上,並將勒索軟件客戶端散播到Windows 設備並對其文件進行加密。
至 2016 年 4 月底,Samsam 已目標攻擊至少 58 個組織,包括醫療保健行業。 MedStar Health 是一家 50 億美元的醫療服務朱組織,在馬里蘭州和華盛頓特區擁有 10 家醫院,員工超過 30,000 人,是第一個受到攻擊並被勒鎖 45 比特幣或18,500美元贖金的公司之一。儘管所有營運都被迫停止,但很幸運的,MedStar不需付贖金。除 MedStar 之外,洛杉磯的好萊塢長老會醫療中心遭到駭客攻擊並且支付了將近 17,000 美元的贖金,德國的兩家醫療機構及肯塔基州Henderson 的衛理公會醫院也遭到了攻擊。 2018 年 3 月 23 日星期五,亞特蘭大市發布了以下信息: 亞特蘭大市目前正面臨著各種客戶使用的應用程序的停機問題,其中包括一些客戶可能用來支付賬單或與法院有關的信息。我們將會發布任何更新訊息。 — City of Atlanta, GA (@Cityofatlanta) March 22, 2018 
接下來是新聞發表會:
市長 @KeishaBottoms 針對安全漏洞招開新聞發表會. https://t.co/h1WlcyUc6x — City of Atlanta, GA (@Cityofatlanta) March 22, 2018 根據 11Alive,是 Samsam 所做的攻擊。年初時 Samsam 也攻擊了科羅拉多州交通部。
Demo
Analysis
SentinelOne會在 pre-execution 及 on-execution 就檢測到 Samsam 。在默認 policy 中,它將不會被允許執行。如果設置為檢測模式,SentinelOne 會檢測勒索軟體專門使用的行為,意指掃描硬碟上的文件,並用加密的版本替換它們。鑑於Samsam 使用漏洞進行部署,SentinelOne 會在此階段檢測到攻擊。在 Attack Storyline 中,我們看到 SentinelOne agent 檢測到 Samsam,從而防止文件被加密並無法恢復。此外,如果未檢測到漏洞利用,SentinelOne 將檢測到受攻擊伺服器向網路上其他伺服器的任何橫向移動。在勒索軟體能夠執行之前,SentinelOne的早期檢測將會發現 Samsam 攻擊。另外,Samsam會刪除 shadow copies,使IT管理員無法將檔案和應用程式恢復到未加密狀態。 SentinelOne 識別此行為並檢測Samsam何時嘗試刪除 shadow copies。如果有什麼東西漏掉了,SentinelOne 能夠修復受攻擊的檔案並將它們回轉到預先加密的狀態。 
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Archives
May 2018
Categories |
RSS Feed