01

恶意软件态势

根据深信服千里目安全技术中心统计数据，2023年5月的恶意软件拦截趋势如图1-1所示，共拦截恶意软件27.65亿次。整体拦截情况比较稳定，其中在5月最后一个星期的拦截量较多，峰值在5月23日，达到10.9千万次拦截量。

根据深信服千里目安全技术中心统计数据，2023年5月恶意软件拦截类型分布如图1-2所示。其中，挖矿类恶意软件拦截量最多（占比42.22%），其次是木马远控（占比28.55%），僵尸网络（占比7.66%）、蠕虫（占比7.64%）及后门软件（占比5.91%），排名、占比相较上月基本都没变化。

图1-2 2023年5月恶意软件拦截类型分布

根据深信服千里目安全技术中心统计数据，2023年5月恶意软件攻击行业分布如图1-3所示。其中，企业的恶意软件拦截量最高（占比25.74%），其次为医疗（占比19.67%）、教育（占比13.63%）和政府（占比11.04%）。根据行业特性，攻击者对行业的选取大多结合自身目的，企业资产相对庞大并以数据作为核心资产，医疗、科研教育和政府则有相对敏感的数据和政治情报。

图1-3 2023年5月恶意软件攻击行业分布

根据深信服千里目安全技术中心统计数据，2023年5月恶意软件攻击省份TOP10分布如图1-4所示。其中，广东省的恶意软件拦截量最高（3.82亿次），其次为上海市（2.50亿次）、浙江省（2.45亿次）、江苏省（1.95亿次）、山东省（1.41亿次）等互联网发达地区。

根据深信服千里目安全技术中心统计数据，2023年5月恶意软件拦截量TOP10的家族如图1-5所示。其中，恶意软件拦截量最高的家族Coinminer为挖矿类，其次大多为挖矿类，如Minepool、Xmrig、Wannamine等，然后是木马远控类，如Gamarue、Agent。

02

恶意软件攻击动态

近期，深信服千里目安全实验室对名为 AceCryptor 的恶意软件保护器进行了技术分析，自 AceCryptor 出现以来很多安全厂商都没有将其作为一个单独的恶意文件保护组件进行分析和归类，而是将其作为内部恶意文件的附加组件。AceCryptor 作为很多知名恶意软件的保护器在网络上大量传播，且现网目前已发现SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, STOP ransomware等200多个恶意软件利用了AceCryptor。

选取 md5 为 49800f6e90bf6019da4a13639032642f 的样本进行分析。从程序入口点及 main 函数结构可知，该文件外层并没有进行复杂的加密和混淆。主要的功能在函数 sub_410290 中。

表 1 主函数内部

但该恶意文件确实存在较多的垃圾代码，用以隐藏真实的恶意代码。

表 2 垃圾代码

解密后，通过内联汇编跳转到解密后的代码处。

表 3 跳转至解密后的代码处

将硬编码的字符串压入栈，获取函数地址。

表 4 获取函数地址

AceCryptor 使用 SetErrorMode 函数检测自身是否运行于虚拟机中。传入SetErrorMode 的参数为SEM_NOALIGNMENTFAULTEXCEPT(0x400) ，两次传入的参数不同。在虚拟机产品中，大多会自行设置 SetErrorMode 的传入参数，导致两次连续的调用出现返回值不同的情况。

表 5 反虚拟机代码

随后 AceCryptor 将载入内存的 PE 文件清空，并将再次解密后的数据写入，完成 ProcessHollowing 操作。至此 AceCryptor 将执行流转交给内部的恶意文件。

表 6 ProcessHollowing

通过在 VT 上搜索其关联的样本，可以找到另一个 Hash 为 5b2f54fbca30e9a282f3d8b461e03a17 的样本，其 Main 函数与前述样本基本相同，解密完成后跳转至解密后的代码处执行，但此样本没有 ProcessHollowing 和反调试。

通过分析多种 AceCryptor 样本，目前总结出 AceCryptor 有如下执行流程：

自5月7日起，深信服深盾终端实验室和深瞳漏洞实验室收到了多家单位的勒索应急求助，网络与应用安全能力部与深盾终端实验室及时对该类事件进行响应。发现国内大量主机遭受到了不定向的勒索攻击。通过排查发现该恶意事件为Tellyouthepass勒索家族利用了某友NC反序列化、某某通电子文档安全管理系统高危等多个漏洞上传webshell并执行勒索病毒。

针对出现的多起勒索攻击事件，深信服AF通过联动SAAS XDR，成功检测出黑客在后渗透阶段利用了冰蝎WebShell通信。虽然通信过程加密、行为隐蔽，但仍被AF+SAAS XDR成功联动检出，并且深信服EDR勒索防护AI引擎在终端侧成功拦截了多起勒索攻击事件，失陷外联检测引擎成功检测到webshell加密通信行为。

本月出现两大类tellyouthepass结合漏洞出现的勒索攻击：

1、针对NC的勒索攻击与去年12月在国内流行的勒索攻击基本一致，参考链接如下：

https://mp.weixin.qq.com/s/1-H_LDOeLQkxVP1TZsdEWA

2、本文主要针对结合高危实施的漏洞攻击进行详细分析

一旦勒索软件完成对系统文件的加密的操作后，加密后的文件默认添加后缀名“.locked1”，勒索信文件名为“README2.html”，受害者可以通过唯一 ID 和邮箱与攻击者取得联系，赎金为 0.12btc。

README2.html 勒索信文件内容如下所示：

被加密后的文件系统如下所示：

03

恶意软件家族

dhpcd团伙

2018年4月，dhpcd挖矿团伙首次浮出水面，此后一直处于活跃状态。尽管被揭露，但该团伙仍然不断更新迭代加强潜伏能力。该团伙将文件命名与Linux上合法程序相似，例如负责DHCP服务器运行的守护进程为dhcpd，攻击者将恶意文件命名为dhpcd。这种命名方式在该团伙使用的样本文件中广泛存在，这也是其能够在长达四年的时间里持续运营的一个原因。并且，攻击者使用Tor的出口节点对攻击基础设施进行隐藏，这使得追踪溯源变得非常困难。攻击者主要通过挖掘门罗币来进行获利。

2022年3月，研究人员注意到dhpcd的挖矿程序进行了更新迭代，从XMRig 2.13.0升级为XMRig 5.2.0。与此同时，其规模与攻击范围也都有较大的提高。

H2Miner团伙

H2Miner挖矿木马最早出现于2019年12月，爆发初期及此后一段时间该挖矿木马都是针对Linux平台，直到2020年11月后，开始利用WebLogic漏洞针对Windows平台进行入侵并植入对应挖矿程序。此外，该挖矿木马频繁利用其他常见Web组件漏洞，入侵相关服务器并植入挖矿程序。例如，2021年12月，攻击者利用Log4j漏洞实施了H2Miner挖矿木马的投放。2021年春节期间，H2Miner挖矿团伙趁春节假期安全运维相对薄弱，利用多个漏洞武器攻击我国云上主机，并利用失陷主机实施挖矿，大量消耗受害主机CPU资源，严重影响了相关主机正常服务运行。

Tellyouthepass团伙

Tellyouthepass勒索病毒最早出现于2020年7月， 该团伙主要利用漏洞公开到修复的时间差进行批量扫描攻击，由于漏洞已具有完整的 POC，使其具有集成快、覆盖范围广、攻击时难以感知的特点。与常规的勒索病毒攻击相比，此类攻击的受影响较大的是存在漏洞的服务器，暂不具有内网自动横向的功能，该团伙使用RSA+AES的方式对受害服务器文件进行加密，加密后数据无法直接解密，同样面临高额的勒索赎金。

Magniber团伙

Magniber是一个首次出现于2017年底的勒索软件家族，该勒索软件的早期版本主要针对韩语用户实行勒索，并且通过 Magnitude 漏洞利用工具包进行分发投送。由于Magnitude Exploit Kit (EK) 运营商在最初的活动中使用了Cerber 勒索软件，因此研究人员在为其命名时取了Magnitude exploit kit的“Magni”和Cerber的“ber”组合而成。从2018年年中开始Magniber被发现开始针对其他亚太国家进行勒索活动。并且在2021年7月发现的攻击中Magniber勒索软件还试图使用已知的 PrintNightmare（CVE-2021-1675）漏洞来攻击受害者。

04

恶意软件态势小结

2023年5月恶意软件攻击数量较多，其攻击方式和攻击团伙不断出新，主要呈现以下趋势：

1）恶意软件攻击数量较4月有所上升，主要目标还是集中在政企、医疗、教育行业。根据深信服安全云脑统计数据，可以看出恶意软件攻击量行业主要集中在企业、医疗、教育、政府行业。因为这些行业资产量多、资产价值高、情报价值高，容易成为挖矿和勒索的目标。

2）勒索软件结合漏洞攻击加大威胁。5月Tellyouthepass结合高危漏洞实施攻击，多家单位受到影响，勒索软件结合漏洞进行实施攻击已是常态，建议各个单位排查自身安全隐患，对勒索软件常利用漏洞进行及时修补。

3)远控木马攻击次数与排名较4月有所上升，信息窃取为主要目的。对比4月Gamarue远控木马攻击次数有上升，5月攻击数量为1.62亿，较4月1.40亿有较大幅度增长，排名较4月上升一名，本月排名第四。