阅读: 231
2018年11月底,国内多个金融客户感染了跨平台的勒索病毒,该病毒是上述蠕虫FT.exe的变种版本,病毒会释放门罗币挖矿程序和勒索软件。该勒索病毒可以在linux和windows平台进行蠕虫式传播,并将本地文件加密为.lucky后缀,释放勒索信息文件_How_To_Decrypt_My_File_。
目前黑客的C&C服务器仍然存活,不排除有大面积感染的风险,请相关用户引起关注,及时做好防护措施,相关的IoC信息可参考附录。
■ 危害等级 高,Satan变种病毒已出现新变种,感染范围较广,可以同时感染Linux和Windows主机。
■ TAG Satan、蠕虫病毒、文件加密
文章目录
Satan变种-Windows平台 conn模块对各漏洞的攻击代码 JBoss反序列化漏洞利用 JBoss默认配置漏洞(CVE-2010-0738) Tomcat任意文件上传漏洞(CVE-2017-12615) Tomcat web管理后台弱口令爆破 WebLogic 任意文件上传漏洞(CVE-2018-2894) Weblogic WLS 组件漏洞(CVE-2017-10271) Windows SMB远程代码执行漏洞MS17-010 Apache Struts2远程代码执行漏洞S2-045 Apache Struts2远程代码执行漏洞S2-057 Spring Data Commons远程代码执行漏洞(CVE-2018-1273) Satan变种病毒分析处置手册完整版下载 一. 背景介绍2018年11月初,绿盟科技发现部分金融客户感染了linux和windows跨平台的蠕虫病毒样本FT.exe,其采用类似Satan勒索病毒的传播渠道,利用多个应用漏洞进行传播。该蠕虫病毒进入系统后无明显破坏行为,仅传播自身。
2018年11月底,国内多个金融客户感染了跨平台的勒索病毒,该病毒是上述蠕虫FT.exe的变种版本,病毒会释放门罗币挖矿程序和勒索软件。该勒索病毒可以在Linux和Windows平台进行蠕虫式传播,并将本地文件加密为.lucky后缀,释放勒索信息文件_How_To_Decrypt_My_File_。
目前黑客的C&C服务器仍然存活,不排除有大面积感染的风险,请相关用户引起关注,及时做好防护措施,相关的IoC信息可参考附录。
二. 病毒分析 2.1 传播方式
Satan病毒家族通过下面8种通用漏洞进行传播。目前发现Satan在linux平台会进行内部IP遍历+端口列表的方式进行漏洞扫描。在windows平台会以IP列表+端口列表的方式进行漏洞扫描。
1. JBoss反序列化漏洞
2. JBoss默认配置漏洞(CVE-2010-0738)
3. Tomcat任意文件上传漏洞(CVE-2017-12615)
4. Tomcat web管理后台弱口令爆破
5. WebLogic 任意文件上传漏洞(CVE-2018-2894)
6. Weblogic WLS 组件漏洞(CVE-2017-10271)
7. Windows SMB远程代码执行漏洞MS17-010
8. Apache Struts2远程代码执行漏洞S2-045
9. Apache Struts2远程代码执行漏洞S2-057
10. Spring Data Commons远程代码执行漏洞(CVE-2018-1273)
2.2 影响范围Linux系统和Windows系统
2.3 近期版本变更V1.10
linux和windows跨平台的蠕虫病毒, 进入系统后无明显破坏行为,仅传播自身。
V1.13
增加了勒索病毒模块,可以将本地文件加密为.lucky后缀,释放勒索信息文件_How_To_Decrypt_My_File_。
2.4 病毒行为由于此次Satan变种病毒可以在Linux和Windows跨平台传播,所以需要对病毒行为进行分别分析。
Satan变种-Linux平台Satan变种分为4个模块程序,包括ft32,conn32,cry32,mn32。都是32位linux程序,同样每个模块都有对应的64位版本的程序,相应的以64为文件名的后缀。
ft模块ft32是Satan变种的主模块,负责下载其他模块程序并执行。该程序启动后会检测自身文件名是否为.loop,如果自身文件名不是.loop,会将自身复制到当前目录。同时结束ft32进程,启动.loop程序进行后续行为。
以.loop文件名启动之后,首先会下载mn32/64,conn32/64,cry32/64三个文件,保存到本地,保存的文件名分别为.data,.conn,.crypt。对应的样本代码逻辑如下。
下载其他模块程序完成后,进入sub_804A52A函数,进行后续操作。
第一步,尝试链接CC服务器,尝试对4个IP地址进行HTTP访问,如果此IP地址存活,则将其保存为后续的通讯地址。下图代码为分别对111.90.158.225、107.179.65.195和23.247.83.135进行尝试性HTTP访问,如果通过HTTP请求获取到字符串,则将该IP地址保存为之后的CC服务器通讯地址。
第二步,在sub_8049719函数中使用了三种方式实现开机自启。
1. 首先通过修改计划任务文件,实现开机自启。
2. 通过创建/etc/rc6.d/S20loop服务,实现开机自启。
3. 通过修改rc.local文件,实现开机自启。
第三步,构造通信数据,使用的请求如下。
conn模块
该模块为Lucky样本的漏洞利用模块,自身同样使用upx压缩加壳,脱壳后大小为4000KB。Lucky样本的漏洞利用模块复用了Satan病毒的相关代码,对外进行的攻击类型一致。
此模块运行之后首先获取自身网段的地址,然后加载一个大小为230的端口列表(端口列表见附录C)。通过自身网段的遍历和端口列表的组合,进行端口扫描。分析时样本产生的网络行为。
如果发现可用的IP与端口,则尝试进行触发漏洞。尝试触发的漏洞类型包括以下10种:
1. JBoss反序列化漏洞(CVE-2013-4810、CVE-2017-12149)
2. JBoss默认配置漏洞(CVE-2010-0738)
3. Tomcat任意文件上传漏洞(CVE-2017-12615)
4. Tomcat web管理后台弱口令爆破
5. WebLogic 任意文件上传漏洞(CVE-2018-2894)
6. Weblogic WLS 组件漏洞(CVE-2017-10271)
7. Windows SMB远程代码执行漏洞MS17-010
8. Apache Struts2远程代码执行漏洞S2-045
9. Apache Struts2远程代码执行漏洞S2-057
10. Spring Data Commons远程代码执行漏洞(CVE-2018-1273)
下图为利用Tomcat上传漏洞是上传的jsp文件。
此模块除了尝试以上对web中间件的扫描攻击,还会对linux的主机口令尝试爆破。爆破的用户包括以下4个:
使用的弱口令列表如下:
cry模块
此模块用于对本地文件的加密,下图为cry模块加密时的白名单,如果被加密的文件保存在下面7个路径中,则不进行加密。
在加密的过程中会将加密文件的参数信息上传到攻击者的111.90.158.225服务器,具体发送的请求如下,其中“xxx”是样本在运行时动态拼接的数据。
111.90.158.225/cyt.php?code=xxx&file=xxx&size=xxx&sys=linux&VRESION=4.3&status=xxx mn模块此模块是一个xmrig开源挖矿程序,其代码发布在https://github.com/xmrig/xmrig。挖矿地址配置信息如下:
Satan变种-Windows平台 fast.exe
fast.exe是Satan变种的主模块,主要负责下载conn.exe和srv.exe,并使用ShellExecuteA函数对程序进行启动,其中srv.exe启动时使用install参数。
cpt.exe
cpt.exe主要负责加密功能。
选择加密文件的后缀列表如下:
bak,sql,mdf,ldf,myd,myi,dmp,xls,xlsx,docx,pptx,eps,txt,ppt,csv,rtf,pdf,db,vdi,vmdk,vmx,pem,pfx,cer,psd为了保证系统可以正常运行,样本不会加密以下目录中的文件:
Windows目录python2, python3, boot, i386, 360safe, intel, dvd maker, recycle, jdk, lib, libs, microsoft, 360rec, 360sec, 360sand Liinux目录 /bin/, /boot/, /sbin/, /tmp/, /dev/, /etc/, /lib/, /lib64/, /misc/, /net/, /proc/, /selinux/, /srv/, /sys/, /usr/lib/, /usr/include/, /usr/bin/, /usr/etc/, /usr/games/, /usr/lib64/, /usr/libexec/, /usr/sbin/, /usr/share/, /usr/src/, /usr/tmp/, /var/account/, /var/cache/, /var/crash/, /var/empty/, /var/games/, /var/gdm/, /var/lib/, /var/lock/, /var/log/, /var/nis/, /var/preserve/, /var/spool/, /var/tmp/, /var/yp/, /var/run/在启动加密之前,样本会通知C&C服务器加密开始,并将status参数设置为begin:
通知流量如下:
样本运行后会生成随机字符串,然后取前32字节作为密钥,使用AES_ECB算法,每次读取16字节对文件进行加密:
所有文件使用同一密钥进行加密,加密成功后样本将原文件重命名为如下形式:[nmare@cock.li]filename.tRD53kRxhtrAl5ss.lucky。完成所有加密工作后,会告知C&C服务器加密完成,并将status参数设置为done:
当全部文件
