挖矿勒索两开花：安全狗提醒用户注意防范勒索病毒

　　防护千万条,安全第一条;补丁没打全,中毒两行泪。

　　近日,安全狗海青实验室接到多起客户中毒求助,经安全研究人员分析,这些病毒感染的途径90%以上都是“永恒之蓝”漏洞和弱口令爆破。

　　自2017年NSA”武器库”被黑客组织”影子经纪人”泄露以及WannyCry勒索病毒的爆发,“永恒之蓝”就是一个经久不息的话题,直到2019年的今天,还有大量主机因为“永恒之蓝”漏洞感染病毒。

　　2019年4-5月,我们所接触以及处理的病毒大多利用永恒之蓝漏洞进行传播,而在没有打过补丁的机器中,往往有多种病毒同时存在,”历史包袱”严重。不仅如此,近期的挖矿木马和勒索病毒为了对抗杀毒软件,更是频繁迭代新版本,为了抢占受害者的”算力市场”,黑客怕是早已进入了”996”。

　　总的来说,以安全卫道,任重而道远。

　　根据近期应急支撑工作总结的情况,我们把遇到的问题主要分为两大类来讨论:勒索病毒和挖矿木马。

　　勒索病毒

　　此次发现的勒索病毒除了利用经典的永恒之蓝漏洞和弱口令爆破感染外,还利用多个中间件NDay对互联网主机进行攻击。我们在发现病毒后第一时间发出勒索病毒预警:【安全预警】警惕!Satan勒索病毒新变种卷土重来、【高危安全预警】Sodinokibi勒索软件感染Windows服务器预警

　　Satan勒索病毒

　　2019年4月中旬,海青实验室接到客户求助,并截获到Satan勒索病毒最新变种。该变种病毒会针对Windows系统和Linux系统进行无差别攻击。

　　Satan病毒在Windows电脑/服务器中,利用永恒之蓝漏洞对局域网Windows电脑进行攻击,同时攻击模块利用JBoss、Tomcat、Weblogic、Apache Struts2多个组件漏洞以及Tomcat弱口令爆破对Windows、Liunx服务器进行攻击。病毒攻击模块在对目标主机攻击成功后,将针对目标操作系统到C2下载勒索病毒主体,并对文件进行加密。目前已有多家企业中招。

　　病毒攻击模块对主机攻击成功后,判断目标主机操作系统类型,其次到服务器(111.90.159.106)下载相应病毒主体。Windows系统将病毒文件放在C:\\fast.exe,linux系统病毒主体在/tmp/r.sh。下载成功后执行病毒文件。

　　病毒执行后将对本地文件加密,并对局域网主机进行横向感染。勒索信采用中文编写,看来黑客主要勒索目标是中国用户。勒索信信息如下图:

　　日志溯源:

　　查看jboss日志,发现从2019-04-xx 02:55:51开始一直有恶意利用jboss漏洞的exp在对中毒机器进行攻击:

　　初步分析,最后利用成功的应该是一个jboss反序列化漏洞:

　　攻击成功后,上传jsp文件satan.jsp。该文件如上文:根据系统从c2下载勒索软件本体并执行

　　防范措施:

　　对于勒索病毒,我们只能尽量防范。因为一旦中招,除了支付赎金,能解密的几率非常小,因此防范和中毒后的处理是重点。

　　1、及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播。

　　2、JBoss、Tomcat、Weblogic、Apache Struts2等服务器组件即时安装安全补丁,更新到最新版本。

　　3、服务器、Tomcat等登录避免使用弱密码,建议使用“大写字母+小写字母+数字+符号”8位以上密码。

　　4、定期做好重要数据备份。

　　IOCs:

　　111.90.159.106

　　fe014fbf44e2b42d70e3effa2248348a

　　Sodinokibi勒索病毒

　　该病毒家族最早出现于2019年4月下旬,其传播和利用手法丰富,短期内版本更新迭代快。目前应急的客户中,嘉兴、泸州都有中此病毒的案例。

　　传播途径

　　1).该病毒利用3389弱口令爆破

　　2). 4月底刚披露的Weblogic远程代码执行漏洞CVE-2019-2725并配合其他nday漏洞对Windows服务器发起攻击

　　3). cve-2018-8453 Windows内核提权漏洞提升自身权限

　　4).垃圾邮件传播

　　Sodinokibi勒索软件感染服务器成功后会生成文件加密后缀名+readme.txt的勒索信息,勒索信息包括个人的ID序列号,以及恶意软件作者的联系方式。有趣的是最初的曝光者Cisco Talos团队披露的攻击者勒索信息开头显示的是“Hello Dear friend”,而此处使用的是“Welcome Again”,不排除攻击者实施攻击的过程中有二次投递勒索软件的行为。

　　防范措施:

　　1.Weblogic、Apache Struts2等服务器组件及时安装安全补丁,更新到最新版本。

　　2.远程桌面避免使用弱密码,建议使用“大写字母+小写字母+数字+符号”8位以上密码。

　　对重要的数据文件定期进行非本地备份。

　　IOCs:

　　MD5:e62c896825a6d186f34fb16b1f57490a

　　Domain:

　　挖矿木马

　　死灰复燃的DTLMiner家族挖矿木马