【SparkSQL笔记】SparkSQL的Dataset操作大全(二)(spark中dataset用法)
713
2022-05-29
距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到半年,又一个新的勒索软件于10月24日出现。这个命名为“坏兔子”(Bad Rabbit)的新型的勒索软件已经在欧洲多个国家进行传播,其中包括俄罗斯、乌克兰、保加利亚、土耳其和德国,并且已经扩散到美国。
目前“坏兔子”主要通过水坑站点传播,并没有利用之前的“永恒之蓝”的漏洞,因此,预计传播规模要小于之前的“Petya”与“WannaCry”。尽管如此,我们也要提醒客户,提高警惕。
事件背景
2017年10月24日,一个名为BadRabbit的勒索软件正在东欧和俄罗斯地区广泛传播,受害者就会被引诱安装一个伪装的flash_player安装程序,如果选择安装,则会被感染,加密文件,遭到勒索。
影响目标
BadRabbit勒索软件主要在在东欧和俄罗斯地区泛滥,同时也影响了保加利亚和土耳其。
攻击流程
传播与感染
样本投递
样本通过‘水坑攻击’的方式进行伪装投递。当正常网络用户访问被攻击者植入恶意代码的‘水坑网站’时,会被提示安装flashplayer插件,如果用户允许,则会从攻击者架设的恶意地址下载(h**p://1dnscontrol[.]com/flash_install[.]php)假冒伪装的flash_player安装文件,如果用户执行下载文件,则会被感染。
“水坑攻击”,黑客攻击方式之一,是在受害者必经之路设置了一个‘水坑’。最常见的做法是:黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站‘攻破’并植入攻击代码,即为‘挂马’。一旦攻击目标访问该网站就会被感染。
传播感染
样本使用暴力枚举 SMB 服务帐号和密码,同时利用 EternalRomance(MS17-010)漏洞进行传播。
机器分析(动态行为检测)
绿盟科技威胁分析系统TAC捕捉到这款恶意样本,安全风险为高危,沙箱也检测到释放样本、创建计划任务、扫描网络上的139和445端口,尝试感染。
文件操作
沙箱检测到样本运行后,在C盘下释放和创建多个恶意文件以及计划任务实现各个功能。
网络操作
沙箱检测到样本运行后,会扫描网络上的139和445端口,以便实现传播和感染。
进程控制
沙箱检测到样本运行后,通过释放文件创建进程的方式来启动各个恶意的功能模块。
高阶分析
样本执行流程图如下:
处理建议
安全通告
为使公司全员了解此勒索软件危害且遵从指导,避免不规范的行为导致不必要的损失,建议在公司范围内发布安全通告,形式包括但不限于:
微信/短信/邮件通知;
办公环境人工通告;
通告内容可参考如下:
1、 禁止安装来源不明的软件;
2、 谨慎点击来自不明邮件中的文件和链接;
3、 开启系统UAC(用户账户控制),并关注UAC告警提示,及时阻断可疑进程的运行。
已经发现自己中病毒,文件被加密的电脑、服务器,请立即拔网线,禁止接入网络!
安全操作建议
1)注意不要随意下载和安装软件
2)开启系统UAC(用户账户控制),并关注UAC告警提示,及时阻断可疑进程的运行。
3)关闭主机WMI服务,关闭Windows主机135/139/445端口;
4)如无必要,关闭网络共享
5)对于个人终端设备,安装防病毒软件并升级规则至最新版
边缘数据中心管理 EDCM
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。