Lucky双平台勒索者样本技术分析

栏目: 编程工具 · 发布时间: 5年前

内容简介:lucky是一款具备超强传播能力的勒索者,360威胁情报中心最早监测到该样本于2018-11-03开始在互联网络活动,通过多种漏洞利用组合进行攻击传播,同时支持Windows和Linux两种操作系统平台,加密算法采用高强度的RSA+AES算法。同时该样本还会进行挖矿木马的种植。仅在2018年11月内,已监测到受影响的机构和个人约1000例左右。

lucky是一款具备超强传播能力的勒索者,360威胁情报中心最早监测到该样本于2018-11-03开始在互联网络活动,通过多种漏洞利用组合进行攻击传播,同时支持Windows和 Linux 两种操作系统平台,加密算法采用高强度的RSA+AES算法。同时该样本还会进行挖矿木马的种植。

仅在2018年11月内,已监测到受影响的机构和个人约1000例左右。

Lucky双平台勒索者样本技术分析

传播模块分析

Lucky模块之一为.conn,该模块与Satan(勒索者)的传播模块基本上一致,主要利用以下漏洞进行攻击。

横向攻击手法&漏洞利用
Apache Struts2远程代码执行漏洞
CVE-2018-1273漏洞
Tomcat web管理后台弱口令爆破
系统账户弱口令爆破
JBoss反序列化漏洞(CVE-2013-4810)
JBoss默认配置漏洞(CVE-2010-0738)
Weblogic WLS 组件漏洞(CVE-2017-10271)
Apache Struts2远程代码执行漏洞S2-045
Apache Struts2远程代码执行漏洞S2-057
Windows SMB远程代码执行漏洞MS17-010
Weblogic 任意文件上传漏洞(CVE-2018-2894)
Tomcat文件任意上传漏洞

通过分析Conn模块发现在该Linux样本中发现了大量“.exe”的字样,可以确定该样本是个跨平台攻击样本,通过Web应用漏洞对Windows、Linux服务器进行无差别、无缝隙的攻击。

Lucky双平台勒索者样本技术分析

主要利用的漏洞

1.ApacheStruts2远程代码执行漏洞 

Lucky双平台勒索者样本技术分析

2. CVE-2018-1273漏洞

Lucky双平台勒索者样本技术分析

针对Windows系统,利用CVE-2018-1273上传fast.exe病毒Downloader至C盘根目录下,下载地址为:hxxp://111.90.158.225/d/fast.exe,截至目前能下载到该样本(MD5: fae322a3ec89c70cb45115779d52cf47)。

Lucky双平台勒索者样本技术分析

针对Linux系统 ,利用CVE-2018-1273漏洞上传ft32和ft64病毒Downloader至服务器,下载地址分别为hxxp://111.90.158.225/d/ft32和 hxxp://111.90.158.225/d/ft64。

Lucky双平台勒索者样本技术分析

3.Tomcat管理后台弱口令爆破

Lucky双平台勒索者样本技术分析

4.尝试爆破系统账户和密码

另外,除了Tomcat的弱口令爆破,还会去尝试爆破系统账户和密码。

Lucky双平台勒索者样本技术分析

5.JBoss反序列化漏洞利用

Lucky双平台勒索者样本技术分析

6.JBoss默认配置漏洞

Lucky双平台勒索者样本技术分析

7.Weblogic WLS 组件漏洞

Lucky双平台勒索者样本技术分析

8.Struts2远程执行S2-057漏洞

Lucky双平台勒索者样本技术分析

9.Struts2远程执行S2-045

根据目标OS执行不同的恶意命令:

Lucky双平台勒索者样本技术分析

10.Windows SMB远程代码执行漏洞MS17-010(永恒之蓝)

Conn模块会通过永恒之蓝 工具 进行横向移动。

11.Weblogic任意文件上传漏洞(CVE-2018-2894)

Lucky双平台勒索者样本技术分析

12.Tomcat文件任意上传漏洞 Lucky双平台勒索者样本技术分析

Linux勒索部分分析

Lucky勒索者会加密以下后缀名的文件:

bak zip sql mdfldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cerps

Lucky双平台勒索者样本技术分析 加密过程中发现为以下目录则直接返回跳过:

/bin, /boot,/sbin , /tmp, /etc, /etc, /lib

Lucky双平台勒索者样本技术分析

病毒使用RSA+AES 的加密方式对文件进行加密。

Lucky双平台勒索者样本技术分析

最后生成加密勒索信息,并将文件名改成[nmare@cock.li]+文件名 + Session + lucky后缀:

Lucky双平台勒索者样本技术分析

再将被加密文件的数量、大小、session等信息上传到C2地址为111.90.158.225的服务器上。

Lucky双平台勒索者样本技术分析

Fast模块分析

上文说到,针对windows平台,会在c:\释放一个文件fast.exe, 该文件其实是一个Downloader,分别去下载conn.exe和srv.exe到C:\Program Files\Common File\System目录下然后调用ShellExecute去执行该文件

Lucky双平台勒索者样本技术分析

Conn模块分析

Conn主要的功能是负责windows平台上的横向移动, 使用到的漏洞和上文中提到的一致,首先Conn会从资源中释放出永恒之蓝攻击模块和Mimikatz(mmkt.exe)到C:\Users\All Users目录下,如下图。

Lucky双平台勒索者样本技术分析

动态调试结果如下:

Lucky双平台勒索者样本技术分析

当释放完永恒之蓝攻击模块后,将会先启动 mmkt.exe获取到windows账户密码,用于新起线程进行攻击工作,其中线程一启动永恒之蓝攻击模块, 如果是64位系统,则使用down64.dll作为payload 来使用。

Lucky双平台勒索者样本技术分析

该payload会下载fast.exe。

Lucky双平台勒索者样本技术分析

线程二进行web服务的攻击。

Lucky双平台勒索者样本技术分析

以下是conn.exe使用到的Weblogic ,Struts2, JBoss等漏洞攻击 payload,详细的漏洞攻击情况已在上面漏洞版面讲述,就不再赘述了。

Lucky双平台勒索者样本技术分析

Srv模块分析

首先该模块会去读一下版本配置文件,检测一遍是否要更新。当前分析时最新版本为1.13。

Lucky双平台勒索者样本技术分析

接着下载cpt.exe 和mn32.exe到C:\Program Files\CommonFiles\System目录下并执行:

Lucky双平台勒索者样本技术分析

执行完上述逻辑后,然后判断参数一,是否等于1或者2,如果参数一等于1则调用StartServiceCtrlDispatcherA函数启动服务的回调函数, 如果参数一等于2,再判断参数二的参数是install还是removesrv,分别为安装服务和卸载服务的功能。

Lucky双平台勒索者样本技术分析

创建的服务名称叫作LogsServic指向srv本身。

Lucky双平台勒索者样本技术分析

最后获取系统信息后拼接参数向服务端发送系统配置等信息。

http://111.90.158.225/token.php?sys=&c_type=&dis_type&num=&ver=

Lucky双平台勒索者样本技术分析

Cpt模块分析

Cpt为windows版本的勒索加密者逻辑和linux的一样,首先它尝试关闭一些数据库服务及进程以解除文件占用,方便对文件进行加密。

Lucky双平台勒索者样本技术分析

cpt.exe主要感染以下类型文件:

.bak.sql.mdf.ldf.myd.myi.dmp.xls.xlsx.docx.pptx.eps.txt.ppt.csv.rtf.pdf.db.vdi.vmdk.vmx.pem.pfx.cer.psd

Lucky双平台勒索者样本技术分析

不加密含有如下字符串的路径:

windows , python2, python3 , microsoft games , boot , i386 , intel , dvd maker ,recycle ,jdk,lib ,libs ,allusers ,360rec ,360sec ,360sand ,favorites ,common files,internet explorer ,msbuild ,public ,360downloads ,windows defen ,windows mail,windows media    pl ,windows nt ,windows photo viewer ,windows sidebar ,defaultuser

通过该排除路径的信息,我们猜测该勒索者为国人制作。

同样windows版本的勒索加密部分和linux一样也是lucky后缀。

Lucky双平台勒索者样本技术分析

同样加密算法采用AES+RSA加密。

Lucky双平台勒索者样本技术分析

最后将session ID 文件个数,文件大小,系统,等等信息上报到服务端。

Lucky双平台勒索者样本技术分析

Mn32模块分析

该模块是挖矿木马使用了如下开源代码。

https://github.com/alloyproject/xmrig/blob/master/src/core/ConfigLoader_platform.h

Lucky双平台勒索者样本技术分析

挖矿木马的矿池地址如下:

Lucky双平台勒索者样本技术分析


以上所述就是小编给大家介绍的《Lucky双平台勒索者样本技术分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

可伸缩架构

可伸缩架构

【美】Lee Atchison / 张若飞、张现双 / 电子工业出版社 / 2017-7 / 65

随着互联网的发展越来越成熟,流量和数据量飞速增长,许多公司的关键应用程序都面临着伸缩性的问题,系统变得越来越复杂和脆弱,从而导致风险上升、可用性降低。《可伸缩架构:面向增长应用的高可用》是一本实践指南,让IT、DevOps和系统稳定性管理员能够了解到,如何避免应用程序在发展过程中变得缓慢、数据不一致或者彻底不可用等问题。规模增长并不只意味着处理更多的用户,还包括管理更多的风险和保证系统的可用性。作......一起来看看 《可伸缩架构》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

html转js在线工具
html转js在线工具

html转js在线工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具