家族

用户7904479340303
142 阅读10分钟

家族

  1. 背景介绍 Gand Crab 勒索病毒于 2018 年 1 月面世以来,短短一年内历经多次版本更新,目前最新的版本为 V5。该病毒利用多种方式对企业网络进行攻击传播,受感染主机上的数据库、文档、图片、压缩包等 文件将被加密。若没有相应数据或文件的备份,将会影响业务的正常运行。从 2018 年 9 月份 V5版本面世以来,GandCrab 出现了包括了 5.0、5.0.2、5.0.3、5.0.4 以及最新的 5.0.5 多个版本的变种。病毒采用 Salsa20 和 RSA-2048 算法对文件进行加密,并修改文件后缀为 .GDCB、. GRAB、.KRAB或 5-10 位随机字母,勒索信息文件为 GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、[5-10 随机字母 ]-DECRYPT.html\txt,并将感染主机桌面背景替换为勒索信息图片。 图 2 GandCrab V5.0.5 桌面截图
  2. 病毒分析
  3. 传播方式 GandCrab 病毒家族主要通过 RDP暴力破解、钓鱼邮件、捆绑恶意软件 、僵尸网络以及漏洞利用传播。 病毒本身不具有蠕虫传播能力,但会通过枚举方式对网络共享资源进行加密,同时攻击者往往还会通过 内网人工渗透方式,利用口令提取、端口扫描、口令爆破等手段对其他主机进行攻击并植入该病毒。2. 影响范围 Windows 系统
  4. 近期版本变更 5.0 版本: 第一个版本中,需要调用 xpsprint.dll,但该文件在 Windows Vista 和 XP中不存在,因此无法在上 述系统中运行。第二个版本不再使用固定的 .CRAB或 .KRAB加密后缀名,而是 5 个字母的随机后缀名。
  5. 版本: 此版本修复了一些程序内部错误,但没有进行其他重大更改。
  6. 版本: 此版本将随机扩展名长度从 5 个字符更改为 10 个字符,并修复了一些内部错误。
  7. 版本: 此版本会通过释放名为 wermgr.exe 的恶意程序来执行加密操作。
  8. 版本: 修复了不能在 Windows Vista 和 XP系统中运行的错误,硬编码了一张人像图片,并在病毒运行时 释放到磁盘中。
  9. 版本: 更换了加密密钥,以对抗 Bitdefender 等厂商提供的解密工具。 4.1.2.2.4 病毒行为
  10. 结束以下进程,其中包括数据库、office 套件、游戏客户端 等:2. 检测键盘布局,对指定语言区域主机不进行加密,如俄罗斯,但不包含中国。
  11. 文件加密。
  12. 调用系统命令(WMIC.exe shadowcopy delete),从磁盘删除用于备份的卷影副本。
  13. 修改当前用户桌面背景为勒索信息图片,其中还包括病毒版本信息。
  14. 修改桌面背景后,开始访问指定域名的 80 及 443 端口。
  15. 整个加密过程完成后,执行自删除操作。
  16. 处置方案 GandCrab 在执行完文件加密后会进行自删除,不会驻留系统,也不会添加自启动相关注册表项目。 如文件加密过程还未完成,病毒进程将不会退出,可使用进程管理工具(如 Process Explorer)查 看是否有可疑进程,并及时结束,以终止文件加密,减少损失。
  17. 文件解密 据悉,10 月 16 日,某叙利亚用户在 twitter 上抗议 GandCrab 加密了他的文件,由于无力支付高额 赎金,他再也无法看到因战争丧生的小儿子照片,此事件经媒体发酵后,相关黑客对此事做出了道歉, 并公布了叙利亚地区之前版本的解密密钥。 解密密钥公开后,多个安全厂商相继发布了解密工具,但为了对抗解密工具,病毒开发者迅速于 10 月 26 日发布了 5.0.5 版本。 10 月 25 日,Bitdefender 发 布 了 解 密 工 具 BDGandCrabDecryptTool, 下 载 地 址:https://labs. bitdefender.com/wp-content/uploads/downloads/gandcrab-removal-tool-v1-v4-v5 该工具会通过在线向其服务器提交加密 ID,从而获取可用的解密私钥( RSA-2048)。经测试,该 工具可解密部分 5.0.3 以前版本的加密文件。使用 BDGandCrabDecryptTool 解密 5.0.3 版本加密文件, 解密成功。 图 3 GandCrab 解密测试 使用 BDGandCrabDecryptTool 解密最新
  18. 专家建议 参考 4.1.1.4 专家建议。 5.0.5 版本加密文件,解密失败。

家族

  1. 背景介绍 GlobeImposter 和 GandCrab 首次出现的时间分别为 2017 年 11 月和 2018 年 1 月,而 Satan(撒旦) 勒索病毒相比于之前的 GlobeImposter 和 GandCrab,可以算得上“历史悠久”。 Satan 最开始出现在 2017 年 1 月份,Satan 病毒的开发者通过网站允许用户生成自己的 Satan 变 种,从 2017 年 1 月份到 2018 年 11 月 Satan 病毒一直在持续更新。下表为 Satan 在各个版本中的特点, 可以发现 Satan 从最开始单一的勒索病毒逐渐向“蠕虫化”发展。 表 7 Satan 勒索病毒版本变更 |版本|V1|V2|V3|V4|V5| |首次发现时间|2017 年 1 月|2017 年 12 月|2018 年 5 月|2018 年 6 月|2018 年 11 月| |传播特征|RaaS 方式|永恒之蓝|

    永恒之蓝

    JBoss 反序列化漏洞 Jboss 默认配置漏洞

    Put 任意文件上传漏洞 Tomcat web 管理后台弱 口令

    WebLogic WLS 组建漏洞 Apache Struts2 远程代码 执行漏洞

    Spring Data Commons 程代码执行漏洞

    |

    RaaS 方式

    JBoss 反序列化漏洞

    Jboss 默认配置漏洞

    Put 任意文件上传漏洞 Tomcat web 管理后台弱口 令

    WebLogic WLS 组建漏洞 Apache Struts2 远程代码执 行漏洞

    Spring Data Commons 远 程代码执行漏洞

    |

    永恒之蓝

    JBoss 反序列化漏洞

    Jboss 默认配置漏洞

    Put 任意文件上传漏洞 Tomcat web 管理后台弱 口令

    WebLogic WLS 组建漏洞 Apache Struts2 远程代码 执行漏洞

    Spring Data Commons 远 程代码执行漏洞

    支持在 Windows 和 Linux 平台传播

    | |勒索货币|0.3 个比特币|0.3 个比特币|0.3 个比特币|1 个比特币|1 个比特币| |加密后缀|stn|Satan|Satan|dbger|lucky| 2018 年 11 月初,绿盟科技发现部分金融客户感染了 Linux 和 Windows 跨平台的蠕虫病毒样本 ft.exe,其采用类似 Satan 勒索病毒的传播渠道,利用多个应用漏洞进行传播。该蠕虫病毒进入系统后 无明显破坏行为,仅传播自身。 2018 年 11 月底,国内多个金融客户感染了跨平台的勒索病毒,该病毒是上述蠕虫 ft.exe 的变种版 本,病毒会释放门罗币挖矿程序和勒索软件。该勒索病毒可以在 Linux和 Windows 平台进行蠕虫式传播, 并将本地文件加密为 .lucky 后缀,释放勒索信息文件 _How_To_Decrypt_My_File_.Dic。
  2. 病毒分析 4.1.3.2.1 传播方式 Satan 病毒家族通过下面 10 种通用漏洞进行传播。目前发现 Satan 在 Linux和 Windows 平台会以 IP 列表 + 端口列表的方式进行漏洞扫描。 \1. JBoss 反序列化漏洞
  3. JBoss 默认配置漏洞 (CVE-2010-0738)
  4. Tomcat 任意文件上传漏洞(CVE-2017-12615)
  5. Tomcat web 管理后台弱口令爆破
  6. WebLogic 任意文件上传漏洞 (CVE-2018-2894)
  7. WebLogic WLS 组件漏洞(CVE-2017-10271)
  8. Windows SMB 远程代码执行漏洞 MS17-010
  9. Apache Struts2 远程代码执行漏洞 S2-045
  10. Apache Struts2 远程代码执行漏洞 S2-057
  11. Spring Data Commons 远程代码执行漏洞(CVE-2018-1273)
  12. 影响范围 Windows 系统和 Linux系统
  13. 病毒行为 由于最新版的 Satan 变种病毒攻击流程如下图: 图 4 Satan 勒索病毒传播流程
  14. 处置方案
  15. 断网隔离防止在木马查杀过程中二次感染。。
  16. 检查 crontab 文件和 rc.local 文件,删除 lucky 病毒的相关启动信息。
  17. 使用 kill -9 pid 命令结束 .loop、.conn32/64、.cry32/64 进程。
  18. 检查 /etc/rc6.d/S20loop 文件指向的位置,删除该目录下相关的样本程序文件,包括 .loop,. conn32/64,.cry32/64,最后删除 /etc/rc6.d/S20loop 文件。
  19. 修改操作系统 SSH 服务口令为强口令。 Windows 手动清理
  20. 断网隔离防止在木马查杀过程中二次感染。
  21. 因为该木马集成弱口令扫描功能以及 mmkt.exe 密码抓取工具,修改系统密码防止在木马查杀 过程中二次感染。
  22. 结束系统中 blue.exe、fast.exe、star.exe、srv.exe、conn.exe、mmkt.exe 等 6 个进程。
  23. 删除 C:\ 目录下的 fast.exe 文件。
  24. 删除 C:\Program Files\Common Files\System 目录下的 conn.exe、srv.exe 文件。
  25. 删除查看 C:\user\all users 或 C:\ProgramData 目录下的永恒之蓝工具包(根据写入时间判断, 避免误删系统正常文件):
  26. 删除木马创建的注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ Logs Service。
  27. 安装针对 MS17-010 漏洞(永恒之蓝利用工具)的操作系统补丁。
  28. 修改操作系统密码为强口令。
  29. 文件解密 在获知其加密算法及密钥前提下,即可对加密文件进行解密,绿盟科技西安网络攻防实验室为此编 写了解密工具,测试适用于 v2 至 v4 版本,并支持文件名还原及批量文件解密。 使用说明:
  30. 直接在当前目录双击运行,即可解密该目录下相关加密文件
  31. 解密完成后,将自动恢复原文件名,并保留原加密文件
  32. 程序默认只遍历三级子目录,如目录数大于三级,可通过命令行指定
  33. 命令行下支持目录及遍历层数两个参数,如:decrypt.exe D:\test 5 图 5 Satan 勒索病毒解密测试 图 6 .debger 文件解密成功 4.1.3.5 专家建议
  • 更新 Apache Structs2 组件版本到最新,修复 (s2-045)(s2-046)(s2-057) 漏洞;
  • 更新 JBoss 版本到最新,修复 (CVE-2013-4810) (CVE-2010-0738) 漏洞;
  • 更新 Tomcat 修复任意文件上传漏洞 (CVE-2017-12615);
  • 更新 WebLogic 版本修复任意文件上传漏洞 (CVE-2018-2894) 和 WLS 组件漏洞 (CVE-2017- 10271);
  • 更新系统补丁,修复 MS17-010 漏洞,或者关闭不必要的 SMB服务。
  • 加强主机账户口令复杂度及修改周期管理,并尽量避免出现通用或规律口令的情况;
  • 修改系统管理员默认用户名,避免使用 admin、administrator、test 等常见用户名;
  • 安装具备自保护的防病毒软件,防止被黑客退出或结束进程,并及时更新病毒库;
  • 加强企业员工安全意识培训,不轻易打开陌生邮件或运行来历不明的程序;
  • 及时更新操作系统及其他应用的高危漏洞安全补丁;
  • 定时对重要业务数据进行备份,防止数据破坏或丢失。
  • 不同业务网络之间做好 VLAN或端口隔离,防止病毒在内部跨网段传播。
  • 关注漏洞预警信息,及时修复重要漏洞,如绿盟科技安全预警公众号。

参考资料

绿盟 绿盟科技安全事件响应观察报告

友情链接

中华人民共和国数据安全法 2021

avatar
文章
阅读
粉丝