国内首例!Lucky勒索病毒攻击Linux与Windows
近日,某公司安全团队发现一针对Linux服务器,并实现Windows跨平台攻击的新型勒索病毒,该勒索病毒加密后缀为.lucky,其传播模块复用了Satan的传播方式,实现了Linux下的自动化传播,某公司将其命名为lucky勒索病毒。
病毒名称:lucky勒索病毒
病毒性质:勒索病毒
影响范围:目前国内已有金融行业感染案例
危害等级:高危
传播方式:利用漏洞和弱密码爆破进行传播
病毒分析
01
攻击流程
ft32是病毒母体,conn32是传播模块,cry32是lucky勒索模块。
整体攻击流程为:
1. ft32病毒自复制成.loop并添加自启动项。
2. .loop从黑客服务器上下载传播模块conn32和勒索模块cry32并运行。
3. cry32对系统中的文件进行加密,加密后缀名为.lucky。
4. conn32对内网主机进行扫描,并利用多个流行漏洞,传播病毒母体。
该程序在启动时会根据启动参数argv[1]来判断是否进行install, 使用argv[0]本身程序名来检测是否以LTMP或者.loop启动。LTMP启动方式目前没有什么动作,直接返回。
其中,执行ft32,不带任何参数,将会复制自身到.loop程序中,并且以.loop创建一个进程。
当ft32结束之后,.loop运行中,会根据自身进程名是否为.loop来创建.hash, 下载.conn, .crypt,LTMP, RTMP等恶意程序。
且执行.conn和.crypt, .conn为传播组件,.crypt为加密组件:
除了下载恶意组件来完成目的,.loop还会通过计划任务,开机自启动等来实现持久性:
02
lucky勒索加密体
读取/tmp/Ssession文件:
遍历系统文件进行加密,加密后缀为“.lucky”:
排除加密如下目录:
加密的文件类型为:
上传被加密文件的数量、大小以及获取到的Ssession:
生成加密信息:
03
传播模块
conn与Satan的传播模块一致,跟Windows版本一样,主要利用以下漏洞进行攻击:
1.JBoss反序列化漏洞(CVE-2013-4810)
2.JBoss默认配置漏洞(CVE-2010-0738)
3.Tomcat任意文件上传漏洞(CVE-2017-12615)
4.Tomcat web管理后台弱口令爆破
5.Weblogic WLS 组件漏洞(CVE-2017-10271)
6.Windows SMB远程代码执行漏洞MS17-010
7.某公司 Struts2远程代码执行漏洞S2-045
8.某公司 Struts2远程代码执行漏洞S2-057
值得注意的是,在该Linux样本中发现了大量.exe的字样,最终确定该样本是个跨平台样本,通过Web应用漏洞对Windows、Linux进行无差别攻击。
传播模块核心函数为:
主要利用的漏洞:
Tomcat任意文件上传漏洞
针对Linux系统 ,Tomcat上传漏洞传播ft32&ft64病毒母体。
针对Windows系统,Tomcat上传漏洞传播fast.exe病毒母体。
Tomcat管理后台弱口令爆破
Struts2远程执行S2-045漏洞
会根据目标OS执行不同的恶意命令。
Struts2远程执行S2-057漏洞
Weblogic WLS 组件漏洞
JBoss默认配置漏洞
SMB远程代码执行漏洞
解决方案
某公司提醒广大用户尽快做好病毒检测与防御措施,防范此次lucky勒索攻击。
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。某公司下一代防火墙用户,可开启IPS和僵尸网络功能,进行封堵。
某公司下一代防火墙配置方法:
第一步:确认当前设备版本和规则库版本
①规则库版本,确认“IPS漏洞特征识别库”和“热门威胁”库版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
设备版本:建议升级至AF8.0.5及以上版本,以获取更快速的更新能力及更好的防护效果。
第二步:开启安全功能:
针对此次的Lucky勒索病毒防护,某公司 AF建议可以开启 “漏洞攻击防护”和“僵尸网络”三个功能,配置如下:
①新增针对“用户业务系统”的防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”和“僵尸网络”两个功能,动作全部选择“拒绝”。配置如下:
②开启针对“用户上网终端”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“漏洞攻击防护”和“僵尸网络”两个功能,动作全部选择“拒绝”。配置如下:
EDR微隔离配置方法:
①使用EDR微隔离功能,关闭445等共享端口。
②将需要访问445等共享端口的源主机,和目的配置一条允许的策略。
3、查找攻击源:手工抓包分析或借助某公司安全感知平台。
SIP更新IOC情报到11月26号可以支持检测lucky,
在线的SIP可以点击“立即云端获取”、离线的SIP可以通过社区BBS下载离线库进行导入。
4、查杀病毒:推荐使用某公司EDR产品进行查杀。
升级到EDR3.2.8,并更新病毒库到11月26号
5、修补漏洞:打上以下漏洞相关补丁,漏洞包括“永恒之蓝”漏洞,JBoss反序列化漏洞(CVE-2013-4810)、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat任意文件上传漏洞(CVE-2017-12615)、Weblogic WLS 组件漏洞(CVE-2017-10271)、apache Struts2远程代码执行漏洞S2-045、某公司 Struts2远程代码执行漏洞S2-057。
咨询与服务
您可以通过以下方式联系我们,获取关于
lucky勒索病毒的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通勒索软件专线)
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司区
bbs.sangfor.com.cn,选择右侧智能客服,进行咨询
发表于 2018-11-27 10:26
工程师1级