快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

具体阐发 | 全新“撒旦”Satan勒索病毒来袭

近日,瑞星威胁情报平台发现多起国内用户感染“撒旦”Satan勒索病毒事故。据瑞星安全研究人员先容,该病毒运行后会加密受害者计算机文件,加密实现后会用中英韩三国说话索取1个比特币作为赎金,并威胁三天内不支付将不予解密。与以往常见的勒索病毒不同,“撒旦”不仅会对感抱病毒的电脑动手,同时病毒还会行使多个漏洞继续攻击别的电脑。

image001.png

图:感染“撒旦”病毒后弹出的勒索窗口

瑞星安全研究人员对最新版本的“撒旦”Satan勒索病毒进行了阐发,发现该病毒与以往勒索病毒有较大的不同,“撒旦”Satan勒索病毒不仅使用永恒之蓝漏洞攻击,还增添了别的的漏洞攻击。包括文件上传漏洞、tomcat弱口令漏洞、WebLogic WLS组件漏洞、JBOOS 反序列化漏洞等。

虽然永恒之蓝已经过去很久,然则国内很多用户出于种种缘故起因依然没有打补丁,这导致很多企业存在极大的安全隐患。“撒旦”Satan勒索病毒可通过漏洞进行传播,所以不下载可疑程序并不能防止感抱病毒,要是不打补丁,即使没有任何操作只需联网就有可能被攻击,因此及时更新补丁,排查web漏洞,提高服务器安全才能最大限度的防御此类病毒。

防范措施

Ø  更新永恒之蓝漏洞补丁。

Ø  及时更新web漏洞补丁,升级web组件。

Ø  开启防火墙关闭445端口。

Ø  装置杀毒软件保持监控开启。

Ø  装置瑞星之剑勒索防御软件。

由于“撒旦”Satan勒索病毒使用对称加密算法加密,密钥硬编码在病毒程序以及被加密文件中,因此可以解密。目前,瑞星已经开发出了解密工具,要是用户中了此病毒可下载此工具恢复被加密文件,下载地址:

http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe。

解密工具使用要领

一、查看勒索信息是否以及讲演中的相同;

2、判定被加密文件名是否为[dbger@protonmail.com]+原始文件名+.dbger,或者[satan_pro@mail.ru]+原始文件名+.satan;

三、运行解密工具;

四、点击“文件”按钮选中要解密的文件夹;

image005.png

五、点击“解密”后,被加密文件将会被解密;

image007.png

可以看到同目录下生成了被解密的文件,然则加密的文件将会被保留,用户查看确定文件被完全解密后,可删除被加密文件。在不确定解密文件是否正确的情形下,不要轻易删除被加密文件,防止别的类型病毒变种加密的文件没有被解密。

image009.png

image011.png

六、目前最新版本可以解密,如遇到此病毒的别的变种没法解密,可联系瑞星公司。

病毒具体阐发

病毒攻击流程以下:

image013.png

图:病毒攻击流程

新版撒旦Satan勒索病毒运行后会创建一个互斥体“SATAN_SCAN_APP”,要是已经存在则退出。

image015.png

图:创建互斥体

要是不存在则最先执行恶意功能,从资源中开释需要用到的恶意模块到C:\\Users\\All Users 目录下,包括永恒之蓝攻击工具、加密模块、暗码抓取工具Mimikatz。

开释永恒之蓝攻击工具,其中blue.exe 是永恒之蓝漏洞攻击工具,star.exe是脉冲双星后门植入工具,down64.dll 是漏洞攻击成功后植入被攻击机器的后门,功能是下载勒索病毒母体,别的文件都是攻击工具需要用到的依靠库以及设置文件。

image017.pngimage019.pngimage021.pngimage023.pngimage025.pngimage027.pngimage029.pngimage031.pngimage033.pngimage035.pngimage037.pngimage039.pngimage041.pngimage043.pngimage045.pngimage047.pngimage049.pngimage051.pngimage053.pngimage055.pngimage057.pngimage059.pngimage061.png

图:开释永恒之蓝攻击工具

开释加密模块,负责加密受害者计算机中的文件,针对加密模块的阐发详见下文“加密模块阐发”部分。

image063.png

图:开释加密模块

判定体系架构,开释不同版本的暗码抓取工具Mimikatz 并运行,64位体系从资源MINI64开释,32位体系从资源MINI32开释,命名为妹妹kt.exe。

image065.png

图:开释运行暗码抓取工具

暗码抓取模块运行后会将抓取到的用户名保存到病毒目录下的“uname”文件中,暗码保存到“upass”文件中。运行加密勒索模块,加密本机文件。

image067.png

图:运行加密模块

创建三个线程攻击收集中的别的机器。

image069.png

图:创建线程攻击别的机器

线程1,获取本机IP地址。

image071.png

图:获取本机IP

轮回攻击内陆局域网Local_IP/16,16位子网掩码的网段。例如192.168.1.1——192.168.255.255,笼盖65536台主机,而不是仅仅攻击255台主机,相对于而言攻击范围更广。

创建线程传入要攻击的IP。

image073.pngimage075.png

图:轮回攻击局域网主机

只攻击指定IP的445端口。

image077.png

图:线程1只攻击445端口

线程2,攻击局域网中除了445端口之外的别的硬编码的226个端口。创建线程,传入攻击IP以及端口,企业黑客,与线程1不同,线程1只传入攻击IP,端口固定445。线程2在创建子线程的时辰传入了攻击IP以及端口 。

image079.png

图:使用web漏洞攻击局域网中的机器

以及线程1相比,线程2增添了一个判定,要是传入的端口是445,则执行永恒之蓝漏洞攻击,否则执行web漏洞攻击,无非针对445端口的永恒之蓝攻击不会见效,因为硬编码的226个端口中不包含445端口,即使包含,上层函数也不会传递445端口。因为线程1就可以实现局域网的445端口攻击了,此处就不用再攻击了。此病毒旧版本的硬编码端口列表中包含445端口。新版本的端口列表修改了,然则这里的代码没有修改,因此这里的判定显得有些过剩。

image081.png

图:判定端口执行攻击

此外在执行web攻击之前会配置一个标志位,要是端口是443或8443则将标志位配置为1,目的是拼集攻击报文时,区别http照样https。https服务默认443端口,tomcat的https服务需要8443端口。

image083.pngimage085.png

图:拼集攻击报文

之所以没有固定端口,对同一个IP使用不同的端口轮回攻击226次,是因为收集中有些机器没有打补丁,然则会将种种web服务的默认端口号修改成别的端口号,作为漏洞缓解措施。攻击者通过这类方式绕过缓解措施。这也为我们提了个醒,缓解措施颇有可能被绕过,把漏洞彻底修复才能更大限度的避免被攻击。

硬编码的内置端口列表:

image087.png

图:硬编码的攻击端口列表

线程3以及线程2的区分主若是线程2攻击的是局域网IP,线程3攻击的是内置的互联网IP,病毒内置了大批的IP段,轮回随机拔取攻击。

image089.png

图:轮回攻击内置的IP段

从内置的硬编码的IP中,随机拔取将要攻击的IP地址段。

image091.png

图:随机拔取

线程3的攻击函数以及线程2相同,攻击每一个IP时,都会轮回攻击硬编码的226个端口,一样由于内置的编码表中不含有445端口,攻击互联网的线程也没法对445端口提议永恒之蓝攻击,只会向指定的IP提议web攻击。

image093.png

图:轮回攻击指定的IP端口

image095.png

图:判定端口执行攻击

永恒之蓝攻击,漏洞触发后会将down64.dll植入到被攻击机器。

image097.png

图:永恒之蓝攻击

 

down64.dll的功能是联网下载运行病毒母体,被攻击机器中毒后,又会轮回一样的操作,加密本机文件勒索,攻击别的机器。

web攻击行使了多种漏洞,文件上传漏洞。

image099.png

图:文件上传漏洞

tomcat弱口令攻击。

image101.png

图:tomcat弱口令漏洞

CVE-2017-10271  WebLogic WLS组件漏洞。

image103.pngimage105.png

图:WebLogic WLS组件漏洞

CVE-2017-12149  JBOOS 反序列化漏洞。

image107.png

图:JBOOS 反序列化漏洞

加密模块阐发,Satan勒索病毒首要针对数据文件进行加密,加密后追加文件后缀为“.dbger”。

image109.png

图:被加密文件的征象

勒索模块运行后,尝试对所有驱动器遍历文件,排除下列目录:

b1.png

表:病毒排除的目录

image111.png

图:病毒不加密的目录

当为以下后缀时,不会加密:

b2.png

表格:病毒排除的后缀

image113.png

图:病毒不加密的文件类型

然后创建线程对遍历到的文件进行加密,病毒还会尝试关闭SQL相干服务防止文件被占用没法加密。

image115.png

图:关闭SQL服务

加密后文件名:[dbger@protonmail.com]+原始文件名+.dbger。

image117.png

图:被加密的文件 命名规则

把加密密钥上传到给遥程服务器101.99.84.136。

image119.png

图:走访控征服务器

病毒的加密算法,加密方式:使用CryptAPI进行加密,算法为RC4,密钥结构:[HardWareID]+k_str1+k_str2+k_str3+[PUBLIC]。

密钥示例以下:

image121.pngimage123.png

图:密钥结构

使用Windows自带的CryptAPI进行加密,MD5算法哈希密钥,加密算法为RC4。

image125.png

图:加密算法为RC4

硬编码了三个字符串,

k_str1:"dfsa#@FGDS!dsaKJiewiu*#&*))__=22121kD()@#(*#@#@!DSKL909*(!#!@AA"  
k_str2:"*@#AdJJMLDML#SXAIO98390d&tpnfd%%u2j312&&dsjdAa"  
k_str3:"@!FS#@DSKkop()(290#0^^^2920-((__!#*$gf4SAddAA"。

image127.png

图:硬编码的字符串,作为密钥的一部分

HardWareID以及PUBLIC都是是随机生成的。起首,它会尝试读取保存在C:\Windows\Temp\KSession中的HardWareID值,要是失败则随机生成0×40大小字符串(固定的,加密过程只生成一次),然后写入了KSession文件中。 

image129.png

图:生成HardWareID 

image131.png

图:HardWareID会被保存在KSession文件中

一样的方式天发展度为0×20大小的PUBLIC值(每一加密一个文件生成一次)。

image133.png

图:生成PUBLIC 

从图中可以看到,每一个文件的PUBLIC是不同的。

image135.png

图:每一个文件的PUBLIC不同 

终极HardWareID以及PUBLIC都会追加到,被加密文件的末尾。

image137.png

图:可以在被加密的文件末尾看到HardWareID与PUBLIC的值

病毒为了加快加密速率,对不同大小,不同类型的文件采取不同的加密策略,重要的文档例如 word、excel文档整个加密。别的文档根据文件大小,加密文件约前二分之1、前五分之一不等。

特殊后缀以下,主若是比较重要的办公文档、源代码文档的后缀名。

b3.png

表:完全加密的特殊后缀

加密方式为以下几种: 

一、小于等于100000000字节 

(1)特殊后缀,完全加密。

(2)别的后缀,部分加密,加密大小的算法 CryptSize = (FileSize / 2000) *1000,约为文件的二分之一。

举个例子,文件小于等于100000000字节时,zip格式的压缩包就会被完全加密,而RAR格式的只会被加密大约二分之一,因为zip是病毒指定的特殊后缀,而RAR不在列表中。

2、大于100000000 字节的文件 

(1)特殊后缀,完全加密。

(2)别的后缀,部分加密,加密大小的算法 CryptSize = (FileSize / 5000) *1000,约为文件的五分之一。 

举个例子,文件大于100000000字节时,zip格式的压缩包就会被完全加密,而RAR格式的 只会被加密大约五分之一,因为zip是病毒指定的特殊后缀,而RAR不在列表中。

当加密实现后,病毒会关上勒索文本提示用户支付赎金。勒索信息提供三种说话英文、中文以及韩文,威胁受害者在三天之内向作者支付1个比特币,否则文件没法解密,并且重要文件被地下。然而究竟上文件可以解密,并且病毒作者也没有获取到受害者的文件。

比特币钱包:3EbN7FP8f8x9FPQQoJKXvyoHJgSkKmAHPY

邮箱:dbger@protonmail.com 

image001.png

图:弹出勒索信息

IOC

MD5

ECF5CABC81047B46977A4DF9D8D68797   病毒母体

C0150256A864E5C634380A53290C7649   加密模块

C&C

http://101.99.84.136

http://101.99.84.136/cab/sts.exe

http://101.99.84.136/cab/st.exe

http://101.99.84.136/data/token.php?status=ST&code=

http://101.99.84.136/data/token.php?status=BK&code=

http://101.99.84.136/data/token.php?status=DB&code=

http://101.99.84.136/data/token.php?status=ALL&code=

http://101.99.84.136/count.php?url=

*

您可能还会对下面的文章感兴趣: