×

国内首例!Lucky勒索病毒攻击Linux与Windows
  

SANGFOR_智安全 16747

{{ttag.title}}
国内首例!Lucky勒索病毒攻击Linux与Windows
近日,某公司安全团队发现一针对Linux服务器,并实现Windows跨平台攻击的新型勒索病毒,该勒索病毒加密后缀为.lucky,其传播模块复用了Satan的传播方式,实现了Linux下的自动化传播,某公司将其命名为lucky勒索病毒。
病毒名称lucky勒索病毒
病毒性质勒索病毒
影响范围目前国内已有金融行业感染案例
危害等级高危
传播方式利用漏洞和弱密码爆破进行传播
病毒分析

01
攻击流程
ft32是病毒母体,conn32是传播模块,cry32是lucky勒索模块。
整体攻击流程为:
1. ft32病毒自复制成.loop并添加自启动项。
2. .loop从黑客服务器上下载传播模块conn32和勒索模块cry32并运行。
3. cry32对系统中的文件进行加密,加密后缀名为.lucky。
4. conn32对内网主机进行扫描,并利用多个流行漏洞,传播病毒母体。
该程序在启动时会根据启动参数argv[1]来判断是否进行install, 使用argv[0]本身程序名来检测是否以LTMP或者.loop启动。LTMP启动方式目前没有什么动作,直接返回。
其中,执行ft32,不带任何参数,将会复制自身到.loop程序中,并且以.loop创建一个进程。
当ft32结束之后,.loop运行中,会根据自身进程名是否为.loop来创建.hash, 下载.conn, .crypt,LTMP, RTMP等恶意程序。
且执行.conn和.crypt, .conn为传播组件,.crypt为加密组件:
除了下载恶意组件来完成目的,.loop还会通过计划任务,开机自启动等来实现持久性:
02
lucky勒索加密体
读取/tmp/Ssession文件:
遍历系统文件进行加密,加密后缀为“.lucky”:
排除加密如下目录:
加密的文件类型为:
上传被加密文件的数量、大小以及获取到的Ssession:
生成加密信息:
03
传播模块
conn与Satan的传播模块一致,跟Windows版本一样,主要利用以下漏洞进行攻击:
1.JBoss反序列化漏洞(CVE-2013-4810)
2.JBoss默认配置漏洞(CVE-2010-0738)
3.Tomcat任意文件上传漏洞(CVE-2017-12615)
4.Tomcat web管理后台弱口令爆破
5.Weblogic WLS 组件漏洞(CVE-2017-10271)
6.Windows SMB远程代码执行漏洞MS17-010
7.某公司 Struts2远程代码执行漏洞S2-045
8.某公司 Struts2远程代码执行漏洞S2-057
值得注意的是,在该Linux样本中发现了大量.exe的字样,最终确定该样本是个跨平台样本,通过Web应用漏洞对Windows、Linux进行无差别攻击。
传播模块核心函数为:
主要利用的漏洞:
Tomcat任意文件上传漏洞
针对Linux系统 ,Tomcat上传漏洞传播ft32&ft64病毒母体。
针对Windows系统,Tomcat上传漏洞传播fast.exe病毒母体。
Tomcat管理后台弱口令爆破
Struts2远程执行S2-045漏洞
会根据目标OS执行不同的恶意命令。
Struts2远程执行S2-057漏洞
Weblogic WLS 组件漏洞
JBoss默认配置漏洞
SMB远程代码执行漏洞
解决方案
某公司提醒广大用户尽快做好病毒检测与防御措施,防范此次lucky勒索攻击。
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。某公司下一代防火墙用户,可开启IPS和僵尸网络功能,进行封堵。
某公司下一代防火墙配置方法:
第一步:确认当前设备版本和规则库版本
①规则库版本,确认“IPS漏洞特征识别库”和“热门威胁”库版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
设备版本:建议升级至AF8.0.5及以上版本,以获取更快速的更新能力及更好的防护效果。
第二步:开启安全功能:
针对此次的Lucky勒索病毒防护,某公司 AF建议可以开启 漏洞攻击防护僵尸网络三个功能,配置如下:
①新增针对“用户业务系统”的防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”和“僵尸网络”两个功能,动作全部选择“拒绝”。配置如下:
②开启针对“用户上网终端”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“漏洞攻击防护”和“僵尸网络”两个功能,动作全部选择“拒绝”。配置如下:
EDR微隔离配置方法:
①使用EDR微隔离功能,关闭445等共享端口。
②将需要访问445等共享端口的源主机,和目的配置一条允许的策略。
3、查找攻击源手工抓包分析或借助某公司安全感知平台。
SIP更新IOC情报到11月26号可以支持检测lucky,
在线的SIP可以点击“立即云端获取”、离线的SIP可以通过社区BBS下载离线库进行导入。
4、查杀病毒推荐使用某公司EDR产品进行查杀。
升级到EDR3.2.8,并更新病毒库到11月26号
5、修补漏洞打上以下漏洞相关补丁,漏洞包括“永恒之蓝”漏洞,JBoss反序列化漏洞(CVE-2013-4810)、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat任意文件上传漏洞(CVE-2017-12615)、Weblogic WLS 组件漏洞(CVE-2017-10271)、apache Struts2远程代码执行漏洞S2-045、某公司 Struts2远程代码执行漏洞S2-057。
咨询与服务
您可以通过以下方式联系我们,获取关于
lucky勒索病毒的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通勒索软件专线)
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司区
bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

好心情能长寿 发表于 2018-11-27 20:07
  
这么强大
TZ587232 发表于 2018-11-28 11:08
  
赶紧做好防护措施……。
chentao 发表于 2018-11-28 18:53
  
dddddddddd
ie5000 发表于 2018-11-29 09:56
  
银行存款会不会也被加密了:大哭:
主动出击 发表于 2018-11-29 13:36
  
现在的病毒真是越来越强大了,我关心的是银行的存款会不会变多
新手132537 发表于 2018-11-29 13:47
  
做好防护措施
好心情能长寿 发表于 2018-11-29 18:26
  
学习了,很不错
vvjames 发表于 2018-11-30 11:27
  
学习:冷漠:
新手三责150万 发表于 2018-11-30 11:31
  
勒索病毒推进了网络安全事业的发展:调皮:
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人