Magniber是一种利用IE漏洞的无文件勒索病毒。此前,它已经对许多韩国用户造成了严重的损害。如果相关安全部门不能及早发现并封堵漏洞,将难以阻止其进一步感染,导致安全软件难以检测。Magniber勒索软件从2021年3月15日开始使用CVE-2021-26411漏洞进行分发,直到最近被发现正在更改为CVE-2021-40444漏洞。值得一提的是,这是微软9月14日推送安全补丁后的最新漏洞,目前大部分用户都存在被感染的风险。(仅在Win10/Win11环境下发生变化,其他环境仍在利用CVE-2021-26411)。现有安全人员发现,近期Magniber勒索病毒攻击事件频发,全国多地网民受到波及。360据安全人员介绍,该勒索病毒利用CVE-2021-40444漏洞进行传播,还利用PrintNightmare漏洞提权,危害性较以往更大。据分析,该病毒主要通过色情网站的广告位传播。自11月5日起,他们收到大量感染Magniber勒索病毒的求助请求,同时检测到CVE-2021-40444漏洞拦截量明显增加。经过分析跟踪,发现这是一个木马攻击团伙。从使用的技术和攻击手段可以看出,这也是一个技术高超的黑客组织。影响。安全人员表示,该黑客组织主要在色情网站(以及少量其他网站)的广告中投放带有攻击代码的广告。感染了勒索软件。据悉,当该漏洞发生时,勒索软件会在如下所示的路径中创建一个名为calc.inf的文件。Magniber勒索软件随后由一个名为control.exe的正常Windows进程加载。2021/09/16:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\calc.inf2021/09/17:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\winsta.inf下图为漏洞发生时iexplore.exe->control.exe的调用过程和calc.inf文件的运行过程。下图为2021年9月16日09:00后开始分发文件名为calc.inf的Magniber,V3检测日志约300例。受影响的操作系统Windows8.1、RT8.1Windows10:1607、1809、1909、2004、20H2、21H1WindowsServer2008SP2、2008R2SP1WindowsServer2012、2012R2WindowsServer2016、2019、2022WindowsServer2004、20H2版本
