Lucky雙平臺勒索者樣本技術分析
作者:360企業安全·華南基地
釋出機構:威脅情報中心
lucky是一款具備超強傳播能力的勒索者,360威脅情報中心最早監測到該樣本於2018-11-03開始在網際網路絡活動,通過多種漏洞利用組合進行攻擊傳播,同時支援Windows和Linux兩種作業系統平臺,加密演算法採用高強度的RAS+AES演算法。同時該樣本還會進行挖礦木馬的種植。僅在2018年11月內,已監測到受影響的機構和個人約1000例左右。
傳播模組分析
Lucky模組之一為.conn,該模組與Satan(勒索者)的傳播模組基本上一致,主要利用以下漏洞進行攻擊。
橫向攻擊手法&漏洞利用 |
Apache Struts2遠端程式碼執行漏洞 (CVE-2017-100011) |
Tomcat任意檔案上傳漏洞(CVE-2017-12615) |
Tomcat web管理後臺弱口令爆破 |
系統賬戶弱口令爆破 |
JBoss反序列化漏洞(CVE-2013-4810) |
JBoss預設配置漏洞(CVE-2010-0738) |
Weblogic WLS 元件漏洞(CVE-2017-10271) |
Apache Struts2遠端程式碼執行漏洞S2-045 |
Apache Struts2遠端程式碼執行漏洞S2-057 |
Windows SMB遠端程式碼執行漏洞MS17-010 |
通過分析Conn模組發現在該Linux樣本中發現了大量“.exe”的字樣,可以確定該樣本是個跨平臺攻擊樣本,通過Web應用漏洞對Windows、Linux伺服器進行無差別、無縫隙的攻擊。
主要利用的漏洞
1. ApacheStruts2遠端程式碼執行漏洞 (CVE-2017-100011)
2. Tomcat任意檔案上傳漏洞
針對Windows系統,利用Tomcat上傳漏洞上傳fast.exe病毒Downloader至C盤根目錄下,下載地址為:hxxp://111.90.158.225/d/fast.exe,截至目前能下載到該樣本(MD5: fae322a3ec89c70cb45115779d52cf47)。
針對Linux系統 ,利用Tomcat上傳漏洞上傳/d/ft32和/d/ft64病毒Downloader至伺服器,下載地址分別為hxxp://111.90.158.225/d/ft32和 hxxp://111.90.158.225/d/ft64。
3.Tomcat管理後臺弱口令爆破
4. 嘗試爆破系統賬戶和密碼
另外,除了Tomcat的弱口令爆破,還會去嘗試爆破系統賬戶和密碼。
5.JBoss反序列化漏洞利用
6.JBoss預設配置漏洞
7.Weblogic WLS 元件漏洞
8.Struts2遠端執行S2-057漏洞
9.Struts2遠端執行S2-045
根據目標OS執行不同的惡意命令。
10.Windows SMB遠端程式碼執行漏洞MS17-010(永恆之藍)
Conn模組會通過永恆之藍工具進行橫向移動。
Linux勒索部分分析
Lucky勒索者會加密以下字尾名的檔案:
bak zip sql mdfldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cerps
加密過程中發現為以下目錄則直接返回跳過:
/bin, /boot,/sbin , /tmp, /etc, /etc, /lib
病毒使用RSA+AES 的加密方式對檔案進行加密。
最後生成加密勒索資訊,並將檔名改成[[email protected]]+檔名 + Session + lucky字尾
再將被加密檔案的數量、大小、session等資訊上傳到C2地址為111.90.158.225的伺服器上。
Fast模組分析
上文說到,針對windows平臺,會在c:\釋放一個檔案fast.exe, 該檔案其實是一個Downloader,分別去下載conn.exe和srv.exe到C:\Program Files\Common File\System目錄下然後呼叫ShellExecute去執行該檔案。
Conn模組分析
Conn主要的功能是負責windows平臺上的橫向移動, 使用到的漏洞和上文中提到的一致,首先Conn會從資源中釋放出永恆之藍攻擊模組和Mimikatz(mmkt.exe)到C:\Users\All Users目錄下,如下圖。
動態除錯結果如下。
當釋放完永恆之藍攻擊模組後,將會先啟動 mmkt.exe獲取到windows賬戶密碼,用於新起執行緒進行攻擊工作,其中執行緒一啟動永恆之藍攻擊模組, 如果是64位系統,則使用down64.dll作為payload 來使用。
該payload會下載fast.exe。
執行緒二進行web服務的攻擊。
以下是conn.exe使用到的Weblogic ,Struts2, JBoss等漏洞攻擊 payload,詳細的漏洞攻擊情況已在上面漏洞版面講述,就不再贅述了。
Srv模組分析
首先該模組會去讀一下版本配置檔案,檢測一遍是否要更新。當前分析時最新版本為1.13。
接著下載cpt.exe 和mn32.exe到C:\Program Files\CommonFiles\System目錄下並執行。
執行完上述邏輯後,然後判斷引數一,是否等於1或者2,如果引數一等於1則呼叫StartServiceCtrlDispatcherA函式啟動服務的回撥函式, 如果引數一等於2,再判斷引數二的引數是install還是removesrv,分別為安裝服務和解除安裝服務的功能。
建立的服務名稱叫作LogsServic指向srv本身。
最後獲取系統資訊後拼接引數向服務端傳送系統配置等資訊。
http://111.90.158.225/token.php?sys=&c_type=&dis_type&num=&ver=
Cpt模組分析
Cpt為windows版本的勒索加密者邏輯和linux的一樣,首先它嘗試關閉一些資料庫服務及程序以解除檔案佔用,方便對檔案進行加密。
cpt.exe主要感染以下型別檔案:
.bak.sql.mdf.ldf.myd.myi.dmp.xls.xlsx.docx.pptx.eps.txt.ppt.csv.rtf.pdf.db.vdi.vmdk.vmx.pem.pfx.cer.psd
不加密含有如下字串的路徑:
windows , python2, python3 , microsoft games , boot , i386 , intel , dvd maker ,recycle ,jdk,lib ,libs ,allusers ,360rec ,360sec ,360sand ,favorites ,common files,internet explorer ,msbuild ,public ,360downloads ,windows defen ,windows mail,windows media pl ,windows nt ,windows photo viewer ,windows sidebar ,defaultuser
通過該排除路徑的資訊,我們猜測該勒索者為國人制作。
同樣windows版本的勒索加密部分和linux一樣也是lucky字尾。
同樣加密演算法採用AES+RSA加密。
最後將session ID 檔案個數,檔案大小,系統,等等資訊上報到服務端。
Mn2模組分析
該模組是挖礦木馬使用瞭如下開原始碼。
https://github.com/alloyproject/xmrig/blob/master/src/core/ConfigLoader_platform.h
挖礦木馬的礦池地址如下:
總結&防禦策略
該樣本使用多種漏洞攻擊組合,進行勒索和挖礦等行為,應給系統和應用打全補丁切斷傳播途徑,關閉不必要的網路共享埠,關閉異常的外聯訪問。
附錄IOC/">IOC:
樣本說明:
檔名:.conn
MD5:84DDEE0187C61D8EB4348E939DA5A366
檔名: .crypt
MD5:D1AC4B74EE538DAB998085E0DFAA5E8D
檔名: srv
MD5:E7897629BA5B2D74418D9A9B6157AE80
檔名: cpt.exe
MD5:36E34E763A527F3AD43E9C30ACD276FF
檔名: mn2.exe
MD5:D1AC4B74EE538DAB998085E0DFAA5E8D
檔名:ft32
MD5:8D3C8045DF750419911C6E1BF493C747
檔名:ft64
MD5:E145264CFFA3C01A93871B27A4F569CC
C2 地址:
111.90.158.225
宣告:本文來自360威脅情報中心,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。