Magniber 勒索病毒感染暴增:色情网站广告位成主要传播途径
安全人员近期监测到 Magniber 勒索病毒感染事件呈现爆发式增长,该病毒主要通过色情网站广告位进行传播,对国内网络安全构成严重威胁。Magniber 是一种利用 IE 漏洞的无文件勒索病毒,此前已对韩国用户造成严重损害。
漏洞利用:Magniber 勒索软件自 2021 年 3 月 15 日以来,先是使用 CVE-2021-26411 漏洞进行传播,后切换至 CVE-2021-40444 漏洞。值得注意的是,CVE-2021-40444 是微软在 9 月 14 日推送安全补丁后出现的新漏洞,这意味着大量用户面临感染风险(该漏洞主要影响 Win10/Win11 环境)。
传播途径:360 安全人员透露,Magniber 勒索病毒利用 CVE-2021-40444 漏洞进行传播,并结合 PrintNightmare 漏洞进行提权,危害程度远超以往。分析显示,该病毒主要通过在色情网站的广告位上投放恶意代码进行传播。自 11 月 5 日以来,安全人员已收到大量 Magniber 勒索病毒感染求助,同时检测到 CVE-2021-40444 漏洞攻击拦截量显著上升。这是一个技术精良的黑客组织发起的挂马攻击,目标主要面向国内用户。
感染机制:当用户访问包含恶意广告的页面时,就有可能感染勒索病毒。漏洞利用过程中,病毒会在以下路径创建名为 calc.inf 的文件:
2021/09/16:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\calc.inf
2021/09/17:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\winsta.inf
Magniber 勒索软件随后由名为 control.exe 的普通 Windows 进程加载。
受影响的操作系统
Windows 8.1、RT 8.1
Windows 10:1607、1809、1909、2004、20H2、21H1
Windows Server 2008 SP 2、2008 R2 SP 1
Windows Server 2012、2012 R2
Windows Server 2016、2019、2022
Windows Server 2004、20H2 版