近期國內電腦大廠勒索軟體攻擊情資分享

【影響範圍】

• Windows Server 2008 R2 for x64-based Systems SP1 (Server Core installation/ GUI installation)
• Windows Server 2012 (Server Core installation/ GUI installation)
• Windows Server 2012 R2 (Server Core installation/ GUI installation)
• Windows Server 2016 (Server Core installation/ GUI installation)
• Windows Server 2019 (Server Core installation/ GUI installation)
• Windows Server (version 1903) (Server Core installation)
• Windows Server (version 1909) (Server Core installation)
• Windows Server (version 2004) (Server Core installation)

【細節描述】

近期台灣企業遭駭客鎖定攻擊，利用MS17-010 及 CVE-2020-1472 ( Windows Zerologon ) 對內部進行弱點攻擊，取得AD權限後再對內部散布特定勒索軟體破壞系統運作。
相關HASH及惡意中繼站資訊如下
惡意檔案 Hash值-sha1：
(1).c79b288c4d17de5bd69386c5c022800559af1478
(2).87919bdf11bdcd0ef8c0525ad6ad33a90e9952f8
(3).eabaee5a1af3117f6a0feecdeec70bfd4b26fbb2
(4).D17E8A9A92CEC57A11750FCD4F592D810D9DFB8C
(5).FB6D8F187D579CF9D75979F66D7ADADC27594B7C
(6).C252E31043495A6C718EA83FFBBAE689F467AC8A
(7).7E97498B2B8E62C84FE05AD2C80B2B929228C285
(8).4F7E50F5744B9EE999BB11B42D2ECC0931466AE2
IP：
(1).145.249.106.102
(2).145.249.106.99
(3).162.243.152.164
(4).217.79.184.243
(5).77.220.64.36
(6).79.143.181.30
FQDN：
(1).Limitedhangout.wtf
(2).www.limitedhangout.wtf 中華資安國際建議管理者儘速評估更新，以降低受駭風險。

【建議措施】

1.將主機進行windows update修補CVE-2020-1472的弱點。
2.將惡意中繼站情資餘防火牆設定阻擋。
3.另外可參考中華的 AI 巡檢包(https://www.chtsecurity.com/service/m306)，測試可完整檢測弱點 CVE-2020-1472 駭侵行為。