Lucky病毒,一款針對Linux伺服器並實現跨平臺的勒索病毒
近日,深信服接到某金融客戶反饋,其Linux伺服器中了勒索病毒,深信服安全團隊研究發現,該勒索病毒加密字尾為.lucky,是新的勒索病毒變種,其傳播模組複用了Satan的傳播方式,實現了Linux下的自動化傳播,我們將其命名為lucky勒索病毒。
0×01 攻擊流程
ft32是病毒母體,conn32是傳播模組,cry32是lucky勒索模組。
1.ft32病毒自複製成.loop並新增自啟動項。
2..loop從黑客伺服器上下載傳播模組conn32和勒索模組cry32並執行。
3.cry32對系統中的檔案進行加密,加密字尾名為.lucky。
4.conn32對內網主機進行掃描,並利用多個流行漏洞,傳播病毒母體。
該程式在啟動時會根據啟動引數argv[1]來判斷是否進行install,使用argv[0]本身程式名來檢測是否以LTMP或者.loop啟動。LTMP啟動方式目前沒有什麼動作,直接返回。
直接執行ft32,不帶任何引數,將會複製自身到.loop程式中,並且以.loop建立一個程序:
當ft32結束之後,.loop執行中,會根據自身程序名是否為.loop來建立.hash,下載.conn,.crypt,LTMP,RTMP等等惡意程式。
且執行.conn和.crypt,.conn為傳播元件,.crypt為加密元件。
除了下載惡意元件來完成目的,.loop還會通過計劃任務,開機自啟動等來實現永續性:
0×02 lucky 勒索加密體
讀取/tmp/Ssession檔案:
遍歷系統檔案進行加密,加密字尾為“.lucky”:
排除如下目錄:
加密檔案型別:
上傳被加密檔案的數量、大小以及獲取到的Ssession:
生成加密資訊:
0×03 傳播模組
conn與Satan的傳播模組一致,跟Windows版本一樣,主要利用以下漏洞進行攻擊:
1.JBoss反序列化漏洞(CVE-2013-4810)
2.JBoss預設配置漏洞(CVE-2010-0738)
3.Tomcat任意檔案上傳漏洞(CVE-2017-12615)
4.Tomcat web管理後臺弱口令爆破
5.Weblogic WLS 元件漏洞(CVE-2017-10271)
6.Windows SMB遠端程式碼執行漏洞MS17-010
7.Apache Struts2遠端程式碼執行漏洞S2-045
8.Apache Struts2遠端程式碼執行漏洞S2-057
比較有意思的是,我們在該Linux樣本中發現了大量.exe的字樣,我們初步懷疑該樣本是個跨平臺樣本,通過Web應用漏洞對Windows、Linux進行無差別攻擊,後續的分析也印證了這一點。
核心函式
Tomcat 任意檔案上傳漏洞
針對Linux系統 ,Tomcat上傳漏洞傳播ft32&ft64病毒母體。
針對Windows系統,Tomcat上傳漏洞傳播fast.exe病毒母體。
Tomcat 管理後臺弱口令爆破
Struts2 遠端執行 S2-045 漏洞
會根據目標OS執行不同的惡意命令:
Struts2 遠端執行 S2-057 漏洞
Weblogic WLS 元件漏洞
JBoss 預設配置漏洞
SMB 遠端程式碼執行漏洞
0×04 解決方案
1.隔離感染主機:已中毒計算機儘快隔離,關閉所有網路連線,禁用網絡卡。
2.切斷傳播途徑:關閉潛在終端的SMB 445等網路共享埠,關閉異常的外聯訪問。深信服下一代防火牆使用者,可開啟IPS和殭屍網路功能,進行封堵。
3.查詢攻擊源:手工抓包分析或藉助深信服安全感知。
4.查殺病毒:推薦使用深信服EDR進行查殺。
5.修補漏洞:打上以下漏洞相關補丁,漏洞包括“永恆之藍”漏洞,JBoss反序列化漏洞(CVE-2013-4810)、JBoss預設配置漏洞(CVE-2010-0738)、Tomcat任意檔案上傳漏洞(CVE-2017-12615)、Weblogic WLS 元件漏洞(CVE-2017-10271)、apache Struts2遠端程式碼執行漏洞S2-045、Apache Struts2遠端程式碼執行漏洞S2-057。
*本文作者:千里目安全實驗室,轉載請註明來自FreeBuf.COM