INCASEFORMAT蠕虫病毒网络传播风险通告

img

报告编号:B6-2021-011501

报告来源:360CERT

报告作者:360CERT

更新日期:2021-01-15

0x01背景

1月13日,360安全大脑检测到蠕虫病毒incaseformat大范围爆发,涉及政府、医疗、教育、运营商等多个行业,该病毒在感染用户机器后会通过U盘自我复制感染到其他电脑,最终导致电脑中非系统分区的磁盘文件被删除,给用户造成极大损失。由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。

Incaseformat蠕虫病毒爆发后,部分安全厂商对incaseformat病毒的传播途径及安全评估进行了误判,错误评估该蠕虫病毒不具有网络传播性,因此360对该蠕虫的真实网络传播风险进行分析通告,希望各行业用户能够正确认识该蠕虫病毒的安全风险,有效防御此类蠕虫病毒的攻击。

0x02风险通告

经360安全大脑的全网遥测分析研判发现,该蠕虫病毒默认通过U盘等存储设备、网络文件共享的本地文件传播方式以外,还有一部分经由网络进行传播。

由于该蠕虫病毒带有破坏性质的传播方法,污染了大量用户的私有数据资料文件夹,导致病毒被用户误打包为ZIP、RAR等压缩包文件,通过邮件附件、网盘共享和IM通信软件等渠道对该病毒进行了各种形式的二次网络传播。传播方式占比情况如下:

图片

0x03风险分析

  • 潜伏发作风险

incaseformat蠕虫病毒默认具有“潜伏发作”的特性,每隔20秒检测一次当前的时间,如果当年大于2009年,月份大于3月,日期为1号、10号、21号、29号时,病毒便会删除磁盘文件。

该蠕虫家族的部分病毒潜伏时间存在异常情况,由于时间戳转换函数的变量值被进行了人为篡改,在程序计算时间的代码中,用于表示一天的毫秒数的变量值与实际不符(正确的值为0x5265C00,程序中的值为0x5A75CC4),从而导致病毒一直处于潜伏状态,直至延期到2021年1月13日发作。

图片

图片

  • 污染文件风险

该蠕虫病毒传播方式十分狡猾,会排除系统盘、回收站等路径进行自我复制,在进行自我复制时会将存储设备根目录下的正常目录隐藏,将自身复制为正常目录名的EXE可执行文件,同时EXE文件后缀名也设置为隐藏,最终将自身伪装为文件夹。这种破坏性的传播方式导致用户大量私有文件资料被悄悄替换,在无防备情况下误打包或被污染进行了二次网络传播。

图片

图片

0x04排查建议

1、主机排查

排查主机Windows目录下是否存在图标为文件夹、文件名为tsay.exe、ttry.exe的可疑文件,若存在该文件及时删除。

2、U盘等存储设备排查

排查U盘等存储设备内是否存在图标为文件夹,但后缀名为exe的可疑文件,若存在该文件及时删除。

0x05产品侧解决方案

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

图片

360安全卫士个人版

针对本次安全事件,用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

图片

360安全卫士团队版

针对本次安全事件,用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

图片

0x06附录

IOC

注: INCASEFORMAT蠕虫同源样本量巨大,更多情报请咨询360情报云(ti.360.cn)。

4b982fe1558576b420589faa9d55e81a

1071D6D497A10CEF44DB396C07CCDE65

002b05c3716262903cc6357e3a55d709

002c8cd04e44b21795e5730c528db65a

002d8439774cd7ae6652c8d8d8d480a5

002f850a311f325aa927f4145b7a67d6

002fb700dfe9da609fa82038c42ecc0f

002ff5a6256e0782a3b47f8a2a8caceb

003b91b926b152440361b577009c8c6b

003c70cd7e9118b3f776feff13eae888

003c143ebd45e51f999b2bd131b1a758

003d92f6399727a9ce002ddbcf82abad

003fe32e70b94a1a08b0c3ca90f792fc

0004dd064895ececb8cfa80ffac5194c

000c420538d054697a8dfa77f332a60c

000fc50f065553832628b7b87327d05f

001a7bc11a1bdbbeba65a57e274bad2e

001aa3980b8dce0cf4ea765717bd9899

001da7ea01c9dae31ea6a4478daa9b50

001dad02d20639885c6e3b263efe6e1f

001ef3049c7eddeae45937b1c1f155e1

002ad24d5a4d07b7f115797123bb735e

……

YARA

rule incaseformat

{

   meta:

       description = "description"

       author = "author"

       date = "2021-01-15"

       reference = "reference"

       hash = "4b982fe1558576b420589faa9d55e81a"

   strings:

       $string1 = "C:\\windows\\ttry.exe"

       $string2 = "C:\\windows\\tsay.exe"

       $string3 ="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce"

       $timestamp = {c4 5c a7 05}

   condition:

       uint16(0) == 0x5a4d and all of them

}

转载自https://mp.weixin.qq.com/s/HqqAz-Pl6nSsvUhPMpM0Rw

admin-root 系统安全 web安全 安全架构
网络安全人人有责,护网一方卫国安邦
欢迎关注公众号:爱国小白帽
推送技术原创及好用的安全工具
因为我也是小白所以文章没啥深度,很适合小白学习,有问题可以一起探讨哦
已标记关键词 清除标记