国内首例！Lucky勒索病毒攻击Linux与Windows

国内首例！Lucky勒索病毒攻击Linux与Windows

近日，某公司安全团队发现一针对Linux服务器，并实现Windows跨平台攻击的新型勒索病毒，该勒索病毒加密后缀为.lucky，其传播模块复用了Satan的传播方式，实现了Linux下的自动化传播，某公司将其命名为lucky勒索病毒。

病毒名称：lucky勒索病毒

病毒性质：勒索病毒

影响范围：目前国内已有金融行业感染案例

危害等级：高危

传播方式：利用漏洞和弱密码爆破进行传播

病毒分析

01

攻击流程

ft32是病毒母体，conn32是传播模块，cry32是lucky勒索模块。

整体攻击流程为：

1. ft32病毒自复制成.loop并添加自启动项。

2. .loop从黑客服务器上下载传播模块conn32和勒索模块cry32并运行。

3. cry32对系统中的文件进行加密，加密后缀名为.lucky。

4. conn32对内网主机进行扫描，并利用多个流行漏洞，传播病毒母体。

该程序在启动时会根据启动参数argv[1]来判断是否进行install, 使用argv[0]本身程序名来检测是否以LTMP或者.loop启动。LTMP启动方式目前没有什么动作，直接返回。

其中，执行ft32，不带任何参数，将会复制自身到.loop程序中，并且以.loop创建一个进程。

当ft32结束之后，.loop运行中，会根据自身进程名是否为.loop来创建.hash, 下载.conn, .crypt，LTMP, RTMP等恶意程序。

且执行.conn和.crypt， .conn为传播组件，.crypt为加密组件：

除了下载恶意组件来完成目的，.loop还会通过计划任务，开机自启动等来实现持久性：

02

lucky勒索加密体

读取/tmp/Ssession文件：

遍历系统文件进行加密，加密后缀为“.lucky”：

排除加密如下目录：

加密的文件类型为：

上传被加密文件的数量、大小以及获取到的Ssession：

生成加密信息：

03

传播模块

conn与Satan的传播模块一致，跟Windows版本一样，主要利用以下漏洞进行攻击:

1.JBoss反序列化漏洞(CVE-2013-4810)

2.JBoss默认配置漏洞(CVE-2010-0738)

3.Tomcat任意文件上传漏洞（CVE-2017-12615）

4.Tomcat web管理后台弱口令爆破

5.Weblogic WLS 组件漏洞（CVE-2017-10271）

6.Windows SMB远程代码执行漏洞MS17-010

7.某公司 Struts2远程代码执行漏洞S2-045

8.某公司 Struts2远程代码执行漏洞S2-057

值得注意的是，在该Linux样本中发现了大量.exe的字样，最终确定该样本是个跨平台样本，通过Web应用漏洞对Windows、Linux进行无差别攻击。

传播模块核心函数为：

主要利用的漏洞：

Tomcat任意文件上传漏洞

针对Linux系统 ，Tomcat上传漏洞传播ft32&ft64病毒母体。

针对Windows系统，Tomcat上传漏洞传播fast.exe病毒母体。

Tomcat管理后台弱口令爆破

Struts2远程执行S2-045漏洞

会根据目标OS执行不同的恶意命令。

Struts2远程执行S2-057漏洞

Weblogic WLS 组件漏洞

JBoss默认配置漏洞

SMB远程代码执行漏洞

解决方案

某公司提醒广大用户尽快做好病毒检测与防御措施，防范此次lucky勒索攻击。

1、隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡。

2、切断传播途径：关闭潜在终端的SMB 445等网络共享端口，关闭异常的外联访问。某公司下一代防火墙用户，可开启IPS和僵尸网络功能，进行封堵。

某公司下一代防火墙配置方法：

第一步：确认当前设备版本和规则库版本

①规则库版本，确认“IPS漏洞特征识别库”和“热门威胁”库版本，保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】，如下图：

设备版本：建议升级至AF8.0.5及以上版本，以获取更快速的更新能力及更好的防护效果。

第二步：开启安全功能：

针对此次的Lucky勒索病毒防护，某公司 AF建议可以开启 “漏洞攻击防护”和“僵尸网络”三个功能，配置如下：

①新增针对“用户业务系统”的防护策略，【策略】——【安全防护策略】——“新增”——“业务防护策略”，开启“漏洞攻击防护”和“僵尸网络”两个功能，动作全部选择“拒绝”。配置如下：

②开启针对“用户上网终端”的防护策略，【策略】——【安全防护策略】——“新增”——“用户防护策略”，开启“漏洞攻击防护”和“僵尸网络”两个功能，动作全部选择“拒绝”。配置如下：

EDR微隔离配置方法：

①使用EDR微隔离功能，关闭445等共享端口。

②将需要访问445等共享端口的源主机，和目的配置一条允许的策略。

3、查找攻击源：手工抓包分析或借助某公司安全感知平台。

SIP更新IOC情报到11月26号可以支持检测lucky，

在线的SIP可以点击“立即云端获取”、离线的SIP可以通过社区BBS下载离线库进行导入。

4、查杀病毒：推荐使用某公司EDR产品进行查杀。

升级到EDR3.2.8，并更新病毒库到11月26号

5、修补漏洞：打上以下漏洞相关补丁，漏洞包括“永恒之蓝”漏洞，JBoss反序列化漏洞(CVE-2013-4810)、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat任意文件上传漏洞（CVE-2017-12615）、Weblogic WLS 组件漏洞（CVE-2017-10271）、apache Struts2远程代码执行漏洞S2-045、某公司 Struts2远程代码执行漏洞S2-057。

咨询与服务

您可以通过以下方式联系我们，获取关于

lucky勒索病毒的免费咨询及支持服务：

1）拨打电话400-630-6430转6号线（已开通勒索软件专线）

2）关注【某公司技术服务】微信公众号，选择“智能服务”菜单，进行咨询

3）PC端访问某公司区

bbs.sangfor.com.cn，选择右侧智能客服，进行咨询

这么强大

赶紧做好防护措施……。

dddddddddd

银行存款会不会也被加密了:大哭:

现在的病毒真是越来越强大了，我关心的是银行的存款会不会变多

做好防护措施

学习了，很不错

学习:冷漠:

勒索病毒推进了网络安全事业的发展:调皮: