黑客使用Sophos防火墙中的0day漏洞部署勒索软件

黑客试图利用Sophos XG防火墙中的0day漏洞将勒索软件分发到Windows计算机，但遭到Sophos发布的修补程序阻止。

4月底，黑客利用了一个SQL注入0day 漏洞，可导致在Sophos XG防火墙中执行远程代码。

攻击者利用此漏洞安装各种ELF二进制文件和脚本，Sophos将其命名为 Asnarök木马。

该木马常用于从防火墙窃取数据，这些数据可能被攻击者用来远程破坏网络。

这些数据包括：

防火墙的许可证和序列号

存储在设备上用户帐户的电子邮件地址列表，以及一些属于防火墙管理员帐户的主要电子邮件

防火墙用户的名称，用户名，密码的加密形式以及管理员帐号的盐化SHA256哈希密码，该密码不是以纯文本格式存储的。

允许将防火墙用于SSL VPN的用户ID和允许使用“ 无客户端” VPN连接的帐号列表。

您可以通过以下的Sophos图表了解攻击是如何策划的。

Asnarök木马的攻击流程

一旦发现这些攻击，Sophos 就将防火墙修复程序推送到防火墙，该防火墙会关闭SQL注入漏洞并删除恶意脚本。

在Sophos今天发布的一份新报告中，我们了解到Sophos 推出其修补程序仅几小时后，攻击者便对其攻击进行了修改，以将Ragnarok 勒索软件分发到网络上未打补丁的Windows 计算机上。

首先，他们开始在被黑客入侵的防火墙上更改其脚本，以使用“失能开关 ”，如果删除了特定文件并重新启动了设备，则稍后将激活勒索软件攻击。

失能开关

值得庆幸的是，Sophos的修补程序通过删除必需的组件且无需重新启动防火墙来阻止了此攻击，于是攻击者再次更改了计划。

Sophos在其报告中解释道：“攻击者可能意识到，勒索软件下载不是由失能开关发起的，也许是由于缺少重启，于是攻击者更改了在攻击早期阶段提供的一些Shell 脚本，包括用勒索软件有效载荷替换了自己的数据窃取模块。”

在此新攻击中，攻击者试图立即将Ragnarok 勒索软件推送到网络上易受攻击的Windows 计算机上。

Ragnarok是针对企业的目标勒索软件，其运营商过去利用 Citrix ADC网关设备中的漏洞来部署。

为了部署勒索软件，他们计划使用永恒之蓝漏洞和DoublePulsar CIA漏洞将恶意软件复制到易受攻击的 Windows计算机上，并将其注入到现有的explorer.exe进程中。

注入勒索软件后，勒索软件将开始对易受攻击的计算机上的文件进行加密，并留下赎金记录，其中包含有关如何支付赎金的说明。