感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/_F1YQR1LoapIvO2doWHl9A   一、背景 近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币（市值7800元人民币），中招企业主要集中在广东、山东、江苏、上海、北京等地，主要受害企业包括IT公司、科研和技术服务机构，以及传统制造企业。 钓鱼邮件伪装成以“偿还债务”、“支付汇款建议”为主题，并在附件中添加包含勒索病毒的压缩文件，中文版为“您的账号.zip”、韩文版为“송장 10.2019.zip”，解压后分别为“付款发票.xls.exe”、“10 월 송장.xls.exe”，都是伪装成表格文件的sodinokibi勒索病毒。从钓鱼邮件内容格式、主题和投递的样本类型来看，此次针对中国和韩国的攻击为同一来源。 sodinokibi勒索病毒出现于2019年4月底，早期使用web服务相关漏洞传播。病毒主要特点为对使用到的大量字串使用RC4算法进行加密，使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程，加密后修改桌面背景为深蓝色并创建勒索文本<random>-readme.txt，被该病毒加密破坏的文件暂时无法解密。 腾讯安全专家提醒用户务必小心处理来历不明的邮件，推荐修改系统默认的文件查看方式，选择查看已知文件类型的扩展名，就可以简单识别那些伪装成doc、xls文档图标的危险程序。目前，腾讯电脑管家和腾讯御点均可查杀该勒索病毒。 根据腾讯安全御见威胁情报中心数据，在一天之内攻击者使用伪造的近1000个邮箱地址针对国内目标发送超过5万封钓鱼邮件，此次邮件传播的Sodinokibi勒索病毒在国内的感染地区分布如下图所示，受害最严重地区为广东、山东、江苏、上海、北京等地。 此次Sodinokibi勒索病毒影响行业分布如下，受害最严重的包括IT行业、科研和技术服务行业以及制造业等。 二、钓鱼邮件 攻击中国的邮件样本 攻击者伪装成digis.net公司的人员Min Zhu Li作为发件人，邮件标题为“你需要偿还的债务”，附件文件为“您的账号.zip”，邮件内容是非正常显示的中文字符，最后一行为“财务选择”。 该附件压缩包解压后为伪装成xlsx文件的exe可执行程序“付款发票.xls.exe”，一旦误判为电子表格双击便会运行Sodinokibi勒索病毒。 攻击韩国的邮件样本 邮箱附件文件名为 “发票10.2019(译文)”，解压后是伪装成xls文件的PE程序“10 월 송장.xls.exe”，一旦双击便会运行Sodinokibi勒索病毒。     三、Sodinokibi勒索病毒 Sodinokibi（付款发票.xls.exe）运行后首先创建互斥体 “Global\AC00ECAF-B4E1-14EB-774F-B291190B3B2B”，以保证具有唯一实例。 然后通过外壳程序从内存中解密核心勒索payload。 payload执行后首先动态解密修正IAT，共157处。之前的版本分别为修正131处、138处，此次的样本新增了19处。 通过获取键盘布局信息获取机器所在地，然后在加密时避开以下国家（主要是俄语国家及部分东欧国家）。 样本内使用的大量明文字串使用RC4算法进行了加密处理，通过动态解密后使用。 解密出所需配置文件，包含以下关键信息。 RSA公钥信息： "pzprC6xbhNFhM/+qJI6gCrd2pnCgyRdai+B89OUhWAw=" 白名单过滤目录： ["programdata","program files (x86)","windows","program files","$windows.~ws","intel","mozilla","application data","perflogs","tor browser","$windows.~bt","google","$recycle.bin","appdata","msocache","boot","windows.old","system volume information"] 白名单过滤文件： ["ntldr","ntuser.dat","ntuser.dat.log","autorun.inf","thumbs.db","bootsect.bak","bootfont.bin","ntuser.ini","desktop.ini","boot.ini","iconcache.db"] 白名单过滤后缀： ["icns","msstyles","cpl","hlp","lnk","deskthemepack","cmd","ics","adv","dll","ico","exe","com","nls","bat","rtp","spl","msu","rom","key","ocx","ps1","msp","386","drv","lock","mod","wpx","cab","idx","sys","icl","nomedia","cur","scr","hta","themepack","bin","diagcfg","shs","ldf","theme","prf","msc","mpa","msi","diagcab","ani","diagpkg"] 结束进程列表： ["sqlbrowser","isqlplussvc","msaccess","onenote","wordpad","thebat64","outlook","msftesql","winword","xfssvccon","excel","mysqld_opt","ocomm","firefoxconfig","mysqld","ocssd","dbeng50","thunderbird","ocautoupds","tbirdconfig","sqlwriter","synctime","mysqld_nt","mydesktopqos","dbsnmp","oracle","mspub","mydesktopservice","sqbcoreservice","sqlagent","encsvc","agntsvc","thebat","infopath","steam","sqlservr","powerpnt","visio"] 删除服务列表： ["veeam","backup","memtas","svc$","mepocs","vss","sql","sophos"] 另外还包括以下内容： 开始加密前通过服务管理器枚举服务，找到并删除在配置文件中指定的服务。 删除系统卷影信息防止文件恢复。 枚举磁盘及磁盘中的文件。 在文件目录下写入勒索提示文档<random>-readme.txt。 使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程。 加密完成后将文件添加随机名后缀，修改桌面背景为深蓝色，并在在桌面显示文本“All of your files are encrypted! Find <random>-readme.txt and follow instuctions”。 勒索提示文档<random>-readme.txt内容如下： 根据提示内容，有两种方法可以提交赎金和解密文档： 1、安装TOR Browser (暗网浏览器) 并访问指定页面 http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/492CCF5D44A96A6E； 2、直接通过浏览器访问指定页面 https://decryptor.top/492CCF5D44A96A6E。 我们使用方法2访问进行查看，页面显示需要在6天之内购买并转账约0.15个比特币（约合人民币7800元）到比特币钱包35ekbqx8jFt9hiUWExDJKh8grznLaXGtQP，6天之后赎金会翻倍。 四、安全建议 1 企业用户针对该病毒的重点防御措施 1.该病毒主要通过垃圾邮件传播，需要企业用户小心处理电子邮件，打开文件夹选项中的“查看已知类型的扩展名”，若发现使用Office关联图标，又是含exe的多重扩展名，就表明风险极高，建议不要打开。 2. 对重要文件和数据（数据库等数据）进行定期非本地备份，普通终端电脑可以使用腾讯御点终端管理系统及腾讯电脑管家内置的文档守护者备份数据。 企业用户通用的防病毒措施 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆； 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问； 3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理； 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器； 5、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码; 6、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 7、建议全网安装御点终端安全管理系统。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。尚未部署的企业可登录腾讯安全官网申请免费试用腾讯御点（https://s.tencent.com/product/yd/index.html）。 个人用户 1、勿随意打开陌生邮件，关闭Office执行宏代码； 2、使用腾讯电脑管家拦截病毒; 3、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 IOCs 您的账号.zip 84f2c98a08c50db10996da7d80567695 송장 10.2019.zip 0bdbf296b7ccd864b74365449225ea22 미지급 송장.zip eb3a1a8f6db25217a85866e15bed866e sodinokibi 57191a04cf06228c0643cc99b252ad1e 0fd100bc752335d0023893cc2104019a 33d31fee52e03138f9582232da8df284 比特币钱包： 35ekbqx8jFt9hiUWExDJKh8grznLaXGtQP 垃圾邮件发件人邮箱地址(部分)： kostergaard@digis.net sbsoo@plantynet.com payment@scholaranswer.com gina@firegalwisdom.com micah@everettwalocksmith.com julia@bluechiptraining.com eric@homedames.com gh156@zrtg.com reed.pannell@metis-media.com me@bankim.net jenna@charlesandvalerie.com iszy@iszard.com jchauvet@corptw.com info@maestrobobbyramirez.com matt@sheetssupply.com nobouncewangyi03@haohua.chemchina.com operacional@swjexpress.com meredith@dawnfam.com leonardo.claudio@zap.co.ao cbaker@requisite-development.com jim@intelinternational.com info@trendestly.com andy@themktgco.com legare@legaresbeads.com karen@richert.ca info@yoasobi365.com john@codecommode.com customercare@coutureandtiaras.com mark@happywatch99.com support@logoman.ca azul@azulnight.com info@polvodellanta.mx marocco@studiosoftware.net timberpines@arnauds.net info@refrigerationottawa.ca zhangjq@postel.com.cn rizna.trinayana@exploraprima.com gazunta@gazunta.com social@thegirafe.com stratford@futurestepsintl.com frankdoerr@schlau.com jcampos@intica.cl hrd.ga@369-group.com emilio@karakey.com cbb@dalgashave.dk info@billetawoodphotography.com.au crenova@crenova.ma aude@rondvert.com nina@mypost.com pdseo@partydepotstore.com fabio.carvalho@alphaclube.com.br mauricio@infoxpert.com.br zhanglimin@sunhongs.com wangchunming@bqhszy.com lumingming@bjca.org.cn treefrog@go4more.de info@drhinkens.com jon@blossom-landscaping.com info@polkcountyfarms.org szczesny@sttb.pl rajat@ridobiko.com rajkishore.bhuyan@rakbgroup.com bondi@bangkokbites.com.au cofm604@domozmail.com burner@computerdoctors.org gaizers@sourcecode.co.th lisa@newquaycleaner.com steve.prime@primefamily.org michaellapeyrouse@hikag.com mengqj@seari.com.cn neva1945@surnet.cl cesarcabanillas@eprofsa.com tg.foot@tsf47.net info@stratacomm.com elacasta@inicia.es stephaniem@rittermail.com jackj@americananglers.net higor@icbrasil.inf.br postmaster@corpease.net redaccion@revistafantastique.com kathi@kathikirchmeier.com submissions@roofnexteriorsco.com pollyanacurcio@maismaquinas.com oliver@kane.ac peter@best-internet-security.uk info@locksmithincollegepark.com cw@zscg.com christopher@4sanchez.com pink-ma@barak.net.il hanlang@yaic.com.cn 参考资料： 警惕sodinokibi勒索病毒借助钓鱼邮件传播，被加密的文件暂不能解密

微软已经敲定将于2020年1月14日之前停止对Windows 7系统的支持，不过之后Office 365 ProPlus订阅用户依然能够在该系统上继续运行3年时间。换句话说，Office 365 ProPlus的安全更新周期将会持续到2023年1月，在这段时间内微软希望给客户提供更充足的时间迁移到Windows 10平台上。 虽然Windows 7用户在2023年1月之前能够继续使用Office 365 ProPlus，但是不会获得任何新的功能，而且微软还会敦促订阅用户尽快迁移到更高的Windows系统中，例如Windows 8.1或者Windows 10。 微软解释道：“即使Windows 7系统在2020年1月之后不再获得支持，我们还是决定在后续3年内继续为Office 365 ProPlus用户提供安全更新，直至2023年1月。我们这样做是为了给您更多的时间，以便于您能从Windows 7系统升级迁移到支持的Windows系统上，例如Windows 10。不过，在这段时间内，依然运行Windows 7的设备上，Office 365 ProPlus不会接受任何新的功能更新。”   （稿源：cnBeta，封面源自网络。）

讯 北京时间4月16日早间消息，据美国科技媒体ZDNet援引卡巴斯基实验室报告称，黑客最喜欢攻击微软Office产品。 在安全分析师峰会（Security Analyst Summit）上，卡巴斯基表示，分析卡巴斯基产品侦测的攻击后发现，2018年四季度有70%利用了Office漏洞。而在2016年四季度，这一比例只有16%。 黑客瞄准的不同平台比例 卡巴斯基还说，利用最多的漏洞没有一个来自Office本身，大多存在于相关组件。例如，CVE-2017-11882和CVE-2018-0802是两个经常被黑客利用的漏洞，它影响了微软数学公式编辑器（Equation Editor）组件。卡巴斯基称：“分析2018年利用最多的漏洞，我们可以确认一点：恶意软件作者偏爱简单、符合逻辑的Bug。” 正因如此，数学公式编辑器中存在的漏洞CVE-2017-11882、CVE-2018-0802才会成为Office利用最多的漏洞，因为它们很可靠，在过去17年发布的所有Word版本中都能用。还有，用这两个漏洞完成开发不需要什么先进技术。 即使漏洞不会影响Office及其组件，也可以通过Office文档完成。例如，CVE-2018-8174是一个存在于Windows VBScript引擎的漏洞，当我们处理Office文档时，Office App会用到Windows VBScript引擎。 还有CVE-2016-0189和CVE-2018-8373漏洞，它们存在于IE脚本引擎，可以通过Office文档调用漏洞，我们要用IE脚本引擎处理Web内容。   （稿源：，稿件以及封面源自网络。）

据美国科技媒体 TechCrunch 报道，当一系列漏洞串联在一起后可以构成完美的攻击以获得微软用户帐号的访问权限。简言之，就是欺骗用户点击某个链接。 印度“漏洞猎手” Sahad Nk 率先发现微软的子域名“ success.office.com ”未正确配置，给了他接管该子域名的可乘之机。   他利用 CNAME 记录——一个用于将一个域名链接到另一个域名的规范记录——来将未配置的子域名指向他自己的 Azure 实例。在 TechCrunch 于发布前获悉的一篇文章中，Nk 表示，通过这种方式，他可以接管该子域名，并劫持任何发送到该子域名的数据。 这本身不是什么大问题，但 Nk 还发现，当用户通过微软的 Live 登录系统登录他们的帐号后，微软的 Office、Store 和 Sway 等应用亦可以受骗将其身份验证登录指令发送他新近接管的域名。这是因为这些应用均使用一个通配符正则表达式，从而所有包含“office.com”字符的域名——包括他新接管的子域名——都能获得信任。 举例来说，一旦受害用户点击了电子邮件中发送的特殊链接，该用户将使用其用户名和密码通过微软的登录系统登录他们的帐号。获得帐号访问指令好比拥有某人的凭据——可以允许攻击者悄无声息地侵入该用户的帐号。 但是指示微软登录系统将帐号指令发送至 Nk 接管的子域名的恶意 URL ——若为恶意攻击者控制的话，恐会致使无数帐号暴露于风险之下。最糟糕的是，恶意 URL 看上去完全正常——因为用户仍然通过微软的系统进行登录，并且该 URL 中的 “wreply” 参数也没有疑点，因为它确实是 Office 的一个子域名。 换句话说，恶意攻击者可以轻而易举地访问任何人的 Office 帐号——甚至企业和集团帐号，包括他们的邮件、文档和其他文件等，而且合法用户几乎无法辨识。 Nk 在 Paulos Yibelo 的帮助下已向微软报告了该漏洞，后者已经将漏洞修复，并为 Nk 的工作支付了漏洞赏金。     稿源：cnBeta，封面源自网络；

微软已将所有Office应用程序与防病毒软件集成，以防止出现宏恶意软件攻击。该公司正在使用反恶意软件扫描接口（AMSI）来处理嵌入在文档中的VBA宏。最近，我们报道了黑客如何使用微软Excel文档来执行CHAINSHOT恶意软件攻击。这些类型的攻击越来越普遍，黑客可以轻松访问受害者的计算机。 各种防病毒公司已经添加了新的AMSI接口，以防止通过恶意JavaScript，VBScript和PowerShell进行攻击。当调用潜在的高风险函数或方法时，Office会暂停宏的执行，并通过AMSI接口请求扫描到那时记录的宏行为。 微软未来指出，解决方案可能并不完美，但好过什么话也没有。也就是说，由于微软正在使用ATP和WindowsDefender，因此可以共享结果并阻止新的威胁。默认情况下，在支持VBA宏的所有Office 365应用程序中启用Office AMSI集成，包括Word，Excel，PowerPoint和Outlook。微软将扫描所有宏，除非它们由受信任方签名或者在受信任位置打开。   稿源：cnBeta，封面源自网络；

微软周二发布公告称，Office 365将封锁Adobe Flash、Shockwave及Silverlight控件。 由于频频传出安全漏洞，Adobe去年宣布，2020年起不再支持Flash，各大主流浏览器包括Chrome、Safari、Firefox及Edge也都列出停止支持Flash的时间表。 为此，Office 365也做了相应的调整，将开始封锁Flash、Shockwave及Silverlight控件。受到影响的功能包括Office文件嵌入的控制，例如利用Insert object功能，在PowerPoint文件直接嵌入Flash影片或是PowerPoint中使用Silverlight的外挂等，不过使用Insert Online Video功能的控制不受影响。 另外，这项变动仅适用于Office 365，不影响Office 2016、Office 2013或Office 2010。微软将依不同“通道”分阶段实施封锁。每月通道（monthly channel）从今年6月即开始封锁。Office 365半年通道将于2018年9月起启动封锁，而从2019年1月开始，Office 365半年通道也会加入。   稿源：ithome，封面源自网络；