news

/ 2018-11-26

近日,深信服安全团队发现一针对linux服务器,并实现windows跨平台攻击的新型勒索病毒,该勒索病毒加密后缀为.lucky,其传播模块复用了satan的传播方式,实现了linux下的自动化传播,深信服将其命名为lucky勒索病毒

病毒名称:lucky勒索病毒

病毒性质:勒索病毒

影响范围:目前国内已有金融行业感染案例

危害等级:高危

传播方式:利用漏洞和弱密码爆破进行传播




病毒分析


01

攻击流程


ft32是病毒母体,conn32是传播模块,cry32是lucky勒索模块。

整体攻击流程为:

1. ft32病毒自复制成.loop并添加自启动项。

2. .loop从黑客服务器上下载传播模块conn32和勒索模块cry32并运行。

3. cry32对系统中的文件进行加密,加密后缀名为.lucky。

4. conn32对内网主机进行扫描,并利用多个流行漏洞,传播病毒母体。

该程序在启动时会根据启动参数argv[1]来判断是否进行install, 使用argv[0]本身程序名来检测是否以ltmp或者.loop启动。ltmp启动方式目前没有什么动作,直接返回。

其中,执行ft32,不带任何参数,将会复制自身到.loop程序中,并且以.loop创建一个进程。


当ft32结束之后,.loop运行中,会根据自身进程名是否为.loop来创建.hash, 下载.conn, .crypt,ltmp, rtmp等恶意程序。


且执行.conn和.crypt, .conn为传播组件,.crypt为加密组件:


除了下载恶意组件来完成目的,.loop还会通过计划任务,开机自启动等来实现持久性:


02

lucky勒索加密体

读取/tmp/ssession文件:


遍历系统文件进行加密,加密后缀为“.lucky”:


排除加密如下目录:


加密的文件类型为:


上传被加密文件的数量、大小以及获取到的ssession:


生成加密信息:


03

传播模块

conn与satan的传播模块一致,跟windows版本一样,主要利用以下漏洞进行攻击:

1.jboss反序列化漏洞(cve-2013-4810)

2.jboss默认配置漏洞(cve-2010-0738)

3.tomcat任意文件上传漏洞(cve-2017-12615)

4.tomcat web管理后台弱口令爆破

5.weblogic wls 组件漏洞(cve-2017-10271)

6.windows smb远程代码执行漏洞ms17-010

7.apache struts2远程代码执行漏洞s2-045

8.apache struts2远程代码执行漏洞s2-057

值得注意的是,在该linux样本中发现了大量.exe的字样,最终确定该样本是个跨平台样本,通过web应用漏洞对windows、linux进行无差别攻击


传播模块核心函数为:


主要利用的漏洞:

tomcat任意文件上传漏洞

针对linux系统 ,tomcat上传漏洞传播ft32&ft64病毒母体。

针对windows系统,tomcat上传漏洞传播fast.exe病毒母体。


tomcat管理后台弱口令爆破

struts2远程执行s2-045漏洞

会根据目标os执行不同的恶意命令。


struts2远程执行s2-057漏洞


weblogic wls 组件漏洞


jboss默认配置漏洞


smb远程代码执行漏洞


凯发登录的解决方案

深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次lucky勒索攻击。

1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2、切断传播途径:关闭潜在终端的smb 445等网络共享端口,关闭异常的外联访问。深信服下一代防火墙用户,可开启ips和僵尸网络功能,进行封堵。

3、查找攻击源:手工抓包分析或借助深信服安全感知平台

4、查杀病毒:推荐使用深信服edr产品进行查杀。

5、修补漏洞:打上以下漏洞相关补丁,漏洞包括“永恒之蓝”漏洞,jboss反序列化漏洞(cve-2013-4810)、jboss默认配置漏洞(cve-2010-0738)、tomcat任意文件上传漏洞(cve-2017-12615)、weblogic wls 组件漏洞(cve-2017-10271)、apache struts2远程代码执行漏洞s2-045、apache struts2远程代码执行漏洞s2-057。

您可以通过以下方式联系凯发注册网站,获取关于lucky勒索病毒的免费咨询及支持服务:

1)拨打电话400-630-6430转6号线(已开通勒索软件专线)

2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询

3)pc端访问深信服区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询


  • / 2020-01-06
  • / 2020-01-06
  • / 2020-01-06

©2000-2020    深信服科技股份有限公司    凯发注册网站的版权所有   

"));
网站地图