Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

栏目: 编程工具 · 发布时间: 5年前

内容简介:近日,深信服接到某金融客户反馈,其Linux服务器中了勒索病毒,深信服安全团队研究发现,该勒索病毒加密后缀为.lucky,是新的勒索病毒变种,其传播模块复用了Satan的传播方式,实现了Linux下的自动化传播,我们将其命名为lucky勒索病毒。

近日,深信服接到某金融客户反馈,其 Linux 服务器中了勒索病毒,深信服安全团队研究发现,该勒索病毒加密后缀为.lucky,是新的勒索病毒变种,其传播模块复用了Satan的传播方式,实现了Linux下的自动化传播,我们将其命名为lucky勒索病毒。        

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

0×01  攻击流程

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

ft32是病毒母体,conn32是传播模块,cry32是lucky勒索模块。

1.ft32病毒自复制成.loop并添加自启动项。

2..loop从黑客服务器上下载传播模块conn32和勒索模块cry32并运行。

3.cry32对系统中的文件进行加密,加密后缀名为.lucky。

4.conn32对内网主机进行扫描,并利用多个流行漏洞,传播病毒母体。

该程序在启动时会根据启动参数argv[1]来判断是否进行install,使用argv[0]本身程序名来检测是否以LTMP或者.loop启动。LTMP启动方式目前没有什么动作,直接返回。

直接执行ft32,不带任何参数,将会复制自身到.loop程序中,并且以.loop创建一个进程:

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

当ft32结束之后,.loop运行中,会根据自身进程名是否为.loop来创建.hash,下载.conn,.crypt,LTMP,RTMP等等恶意程序。

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

且执行.conn和.crypt,.conn为传播组件,.crypt为加密组件。

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

除了下载恶意组件来完成目的,.loop还会通过计划任务,开机自启动等来实现持久性:

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

0×02 lucky 勒索加密体

读取/tmp/Ssession文件:

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

遍历系统文件进行加密,加密后缀为“.lucky”:

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

排除如下目录:

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

加密文件类型:

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

上传被加密文件的数量、大小以及获取到的Ssession:

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

生成加密信息:

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

0×03 传播模块

conn与Satan的传播模块一致,跟Windows版本一样,主要利用以下漏洞进行攻击:

1.JBoss反序列化漏洞(CVE-2013-4810)

2.JBoss默认配置漏洞(CVE-2010-0738)

3.Tomcat任意文件上传漏洞(CVE-2017-12615)

4.Tomcat web管理后台弱口令爆破

5.Weblogic WLS 组件漏洞(CVE-2017-10271)

6.Windows SMB远程代码执行漏洞MS17-010

7.Apache Struts2远程代码执行漏洞S2-045

8.Apache Struts2远程代码执行漏洞S2-057

比较有意思的是,我们在该Linux样本中发现了大量.exe的字样,我们初步怀疑该样本是个跨平台样本,通过Web应用漏洞对Windows、Linux进行无差别攻击,后续的分析也印证了这一点。

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

核心函数

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

Tomcat 任意文件上传漏洞

针对Linux系统 ,Tomcat上传漏洞传播ft32&ft64病毒母体。

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

针对Windows系统,Tomcat上传漏洞传播fast.exe病毒母体。

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

Tomcat 管理后台弱口令爆破

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

Struts2 远程执行 S2-045 漏洞

会根据目标OS执行不同的恶意命令:

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

Struts2 远程执行 S2-057 漏洞

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

Weblogic WLS 组件漏洞

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

JBoss 默认配置漏洞

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

SMB 远程代码执行漏洞

Lucky病毒,一款针对Linux服务器并实现跨平台的勒索病毒

0×04 解决方案

1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2.切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。深信服下一代防火墙用户,可开启IPS和僵尸网络功能,进行封堵。

3.查找攻击源:手工抓包分析或借助深信服安全感知。

4.查杀病毒:推荐使用深信服EDR进行查杀。

5.修补漏洞:打上以下漏洞相关补丁,漏洞包括“永恒之蓝”漏洞,JBoss反序列化漏洞(CVE-2013-4810)、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat任意文件上传漏洞(CVE-2017-12615)、Weblogic WLS 组件漏洞(CVE-2017-10271)、apache Struts2远程代码执行漏洞S2-045、Apache Struts2远程代码执行漏洞S2-057。

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

爆裂

爆裂

[美] 伊藤穰一、[美] 杰夫·豪 / 张培、吴建英、周卓斌 / 中信出版集团 / 2017-9-1 / 65.00元

越是在发生重大改变的时刻,越是会出现两极分化,赢家、输家有时只在一念间。未来已经装上了全新的操作系统。这是一个重大升级,对我们而言,随之而来的则是陡峭的学习曲线。在指数时代,替换旧逻辑,我们的思维亟需与世界对接,推翻过去已经成为大众所接受的常识,学会差异化思考才能屹立不倒,不被卷入历史的洪流。 在《爆裂》一书中,伊藤穰一和杰夫·豪将这一逻辑提炼为9大原则,帮助人们驾驭这一动荡时刻,应对当下的......一起来看看 《爆裂》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具