Lucky双平台勒索者样本的实例分析

今天就跟大家聊聊有关Lucky双平台勒索者样本的实例分析,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。

lucky是一款具备超强传播能力的勒索者,360威胁情报中心最早监测到该样本于2018-11-03开始在互联网络活动,通过多种漏洞利用组合进行攻击传播,同时支持Windows和Linux两种操作系统平台,加密算法采用高强度的RSA+AES算法。同时该样本还会进行挖矿木马的种植。

仅在2018年11月内,已监测到受影响的机构和个人约1000例左右。    

Lucky双平台勒索者样本的实例分析

传播模块分析

Lucky模块之一为.conn,该模块与Satan(勒索者)的传播模块基本上一致,主要利用以下漏洞进行攻击。

横向攻击手法&漏洞利用
Apache Struts2远程代码执行漏洞
CVE-2018-1273漏洞
Tomcat web管理后台弱口令爆破
系统账户弱口令爆破
JBoss反序列化漏洞(CVE-2013-4810)
JBoss默认配置漏洞(CVE-2010-0738)
Weblogic WLS 组件漏洞(CVE-2017-10271)
Apache Struts2远程代码执行漏洞S2-045
Apache Struts2远程代码执行漏洞S2-057
Windows SMB远程代码执行漏洞MS17-010
Weblogic 任意文件上传漏洞(CVE-2018-2894)
Tomcat文件任意上传漏洞

通过分析Conn模块发现在该Linux样本中发现了大量“.exe”的字样,可以确定该样本是个跨平台攻击样本,通过Web应用漏洞对Windows、Linux服务器进行无差别、无缝隙的攻击。

Lucky双平台勒索者样本的实例分析

主要利用的漏洞

1.ApacheStruts2远程代码执行漏洞 

Lucky双平台勒索者样本的实例分析

2.CVE-2018-1273漏洞    

Lucky双平台勒索者样本的实例分析

针对Windows系统,利用CVE-2018-1273上传fast.exe病毒Downloader至C盘根目录下,下载地址为:hxxp://111.90.158.225/d/fast.exe,截至目前能下载到该样本(MD5: fae322a3ec89c70cb45115779d52cf47)。

Lucky双平台勒索者样本的实例分析

针对Linux系统 ,利用CVE-2018-1273漏洞上传ft32和ft64病毒Downloader至服务器,下载地址分别为hxxp://111.90.158.225/d/ft32和 hxxp://111.90.158.225/d/ft64。

Lucky双平台勒索者样本的实例分析

3.Tomcat管理后台弱口令爆破

Lucky双平台勒索者样本的实例分析

4.尝试爆破系统账户和密码

另外,除了Tomcat的弱口令爆破,还会去尝试爆破系统账户和密码。

Lucky双平台勒索者样本的实例分析

5.JBoss反序列化漏洞利用

Lucky双平台勒索者样本的实例分析

6.JBoss默认配置漏洞

Lucky双平台勒索者样本的实例分析

7.Weblogic WLS 组件漏洞

Lucky双平台勒索者样本的实例分析

8.Struts2远程执行S2-057漏洞

Lucky双平台勒索者样本的实例分析

9.Struts2远程执行S2-045

根据目标OS执行不同的恶意命令:

Lucky双平台勒索者样本的实例分析

10.Windows SMB远程代码执行漏洞MS17-010(永恒之蓝)

Conn模块会通过永恒之蓝工具进行横向移动。 

11.Weblogic任意文件上传漏洞(CVE-2018-2894)

Lucky双平台勒索者样本的实例分析

12.Tomcat文件任意上传漏洞    
Lucky双平台勒索者样本的实例分析

Linux勒索部分分析

Lucky勒索者会加密以下后缀名的文件:

bak zip sql mdfldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cerps

Lucky双平台勒索者样本的实例分析加密过程中发现为以下目录则直接返回跳过:

/bin, /boot,/sbin , /tmp, /etc, /etc, /lib

Lucky双平台勒索者样本的实例分析

病毒使用RSA+AES 的加密方式对文件进行加密。

Lucky双平台勒索者样本的实例分析

最后生成加密勒索信息,并将文件名改成[nmare@cock.li]+文件名 + Session + lucky后缀:

Lucky双平台勒索者样本的实例分析

再将被加密文件的数量、大小、session等信息上传到C2地址为111.90.158.225的服务器上。

Lucky双平台勒索者样本的实例分析

Fast模块分析

上文说到,针对windows平台,会在c:/释放一个文件fast.exe, 该文件其实是一个Downloader,分别去下载conn.exe和srv.exe到C:/Program Files/Common File/System目录下然后调用ShellExecute去执行该文件

Lucky双平台勒索者样本的实例分析

Conn模块分析

Conn主要的功能是负责windows平台上的横向移动, 使用到的漏洞和上文中提到的一致,首先Conn会从资源中释放出永恒之蓝攻击模块和Mimikatz(mmkt.exe)到C:/Users/All Users目录下,如下图。

Lucky双平台勒索者样本的实例分析

动态调试结果如下:

Lucky双平台勒索者样本的实例分析

当释放完永恒之蓝攻击模块后,将会先启动 mmkt.exe获取到windows账户密码,用于新起线程进行攻击工作,其中线程一启动永恒之蓝攻击模块, 如果是64位系统,则使用down64.dll作为payload 来使用。

Lucky双平台勒索者样本的实例分析

该payload会下载fast.exe。

Lucky双平台勒索者样本的实例分析

 线程二进行web服务的攻击。

Lucky双平台勒索者样本的实例分析

以下是conn.exe使用到的Weblogic ,Struts2, JBoss等漏洞攻击 payload,详细的漏洞攻击情况已在上面漏洞版面讲述,就不再赘述了。

Lucky双平台勒索者样本的实例分析

Srv模块分析

首先该模块会去读一下版本配置文件,检测一遍是否要更新。当前分析时最新版本为1.13。

Lucky双平台勒索者样本的实例分析

接着下载cpt.exe 和mn32.exe到C:/Program Files/CommonFiles/System目录下并执行:

Lucky双平台勒索者样本的实例分析

执行完上述逻辑后,然后判断参数一,是否等于1或者2,如果参数一等于1则调用StartServiceCtrlDispatcherA函数启动服务的回调函数, 如果参数一等于2,再判断参数二的参数是install还是removesrv,分别为安装服务和卸载服务的功能。

Lucky双平台勒索者样本的实例分析

创建的服务名称叫作LogsServic指向srv本身。

Lucky双平台勒索者样本的实例分析

最后获取系统信息后拼接参数向服务端发送系统配置等信息。

http://111.90.158.225/token.php?sys=&c_type=&dis_type&num=&ver=

Lucky双平台勒索者样本的实例分析

Cpt模块分析

Cpt为windows版本的勒索加密者逻辑和linux的一样,首先它尝试关闭一些数据库服务及进程以解除文件占用,方便对文件进行加密。

Lucky双平台勒索者样本的实例分析

cpt.exe主要感染以下类型文件:

.bak.sql.mdf.ldf.myd.myi.dmp.xls.xlsx.docx.pptx.eps.txt.ppt.csv.rtf.pdf.db.vdi.vmdk.vmx.pem.pfx.cer.psd

Lucky双平台勒索者样本的实例分析

不加密含有如下字符串的路径:

windows , python2, python3 , microsoft games , boot , i386 , intel , dvd maker ,recycle ,jdk,lib ,libs ,allusers ,360rec ,360sec ,360sand ,favorites ,common files,internet explorer ,msbuild ,public ,360downloads ,windows defen ,windows mail,windows media    pl ,windows nt ,windows photo viewer ,windows sidebar ,defaultuser

通过该排除路径的信息,我们猜测该勒索者为国人制作。

同样windows版本的勒索加密部分和linux一样也是lucky后缀。

Lucky双平台勒索者样本的实例分析

同样加密算法采用AES+RSA加密。

Lucky双平台勒索者样本的实例分析

最后将session ID 文件个数,文件大小,系统,等等信息上报到服务端。

Lucky双平台勒索者样本的实例分析

Mn32模块分析

该模块是挖矿木马使用了如下开源代码。

https://github.com/alloyproject/xmrig/blob/master/src/core/ConfigLoader_platform.h

Lucky双平台勒索者样本的实例分析

挖矿木马的矿池地址如下: 

Lucky双平台勒索者样本的实例分析

总结&防御策略

该样本使用多种漏洞攻击组合,进行勒索和挖矿等行为,应给系统和应用打全补丁切断传播途径,关闭不必要的网络共享端口,关闭异常的外联访问。

看完上述内容,你们对Lucky双平台勒索者样本的实例分析有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注亿速云行业资讯频道,感谢大家的支持。

原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/tech/dev/204518.html

(0)
上一篇 2021年11月29日 01:30
下一篇 2021年11月29日 01:50

相关推荐

发表回复

登录后才能评论