北京时间4月21日,匿名黑客应用WebLogic反序列化破绽向国际一些企业效劳器传递灰星敲诈病毒,加密效劳器中的重要文件并索要0.08比特币,赎金目前约为47.47万元。据360互联网平安中心监测数据显示,近100台效劳器遭到了攻击的影响。
运用“无文件”攻击方法,攻击负载托管在gist上
灰星敲诈病毒吸取了近年来盛行的"无文件"攻击的经验,一切任务都是在windows合法进程中完成的powershell -黑客应用WebLogic反序列化破绽攻击效劳器,控制效劳器下载第一阶段的gist主机并运转,加载读取后的gist主机上嵌入的恶意图片内容解密后失掉第二阶段的加载,最后在powershell进程中执行。图1显示了完整攻击流程。
图1灰星敲诈病毒完整攻击进程
第一阶段攻击有效负载宿主地址是hx XPS : / / raw。github用户内容。com /树1985 / metasploit -框架/主/ metasploit。成功应用WebLogic反序列化破绽后,黑客入侵效劳器并执行图2所示命令,从托管地址下载攻击负载以供执行。与大少数运用团体域名作为有效载荷下载地址的黑客不同,grey stars敲诈病毒,迫使其选择gist托管有效载荷,其优势在于raw。github用户内容。com是大少数杀毒软件和主机入侵进攻系统的合法域名,选择它作为有效负载下载地址可以有效防止阻拦,但也添加了黑客身份暴露的风险。
图2黑客入侵效劳器后执行的命令
应用图像隐写技术隐藏恶意代码
有效负载内容第一阶段的主要功用是从hx XPS : / / raw下载嵌入恶意代码的图片。github用户内容。com /树1985 / metasploit -框架/主/网络。并从图片中获取恶意代码执行。网络。png是黑客运用invoke - PS映像工具拔出恶意代码的特殊图片。invoke - PS图像是国外平安研讨者Barrett ADAMS开发的一种powershell图像隐写工具,它可以将恶意代码拔出到每个像素g和b颜色通道的最后4位。图3显示了invoke - PS映像的复杂操作。
图3调用- PS映像的复杂任务原理
由于颜色通道的最后4位对最终像素点的颜色渲染简直没有影响,所以经过invoke - PS图像嵌入恶意代码的图像与原始图像简直相反。黑客在gist上拥有这样一张“正常”图片不会惹起疑心。
加密计算机上的重要文件并索要赎金
有效载荷的第二阶段是完成加密文件的执行和敲诈。负载也用powershell言语编写。
关于每台计算机,grey stars敲诈顺序生成一个AES密钥来加密文件,并运用内置的RSA公钥加密AES密钥。RSA公钥存储在以硬编码方式写入代码的证书中,并经过的公钥方法取得。net x509证书类。由于powershell在操作时十分灵敏。net方法,grey stars敲诈软件应用这一特性,以繁复的powershell言语完成了繁琐的密钥生成和密钥加密。图4显示了经过灰星敲诈病毒对AES密钥停止RSA加密的进程。
图4应用灰星敲诈病毒对AES密钥停止RSA加密的进程
grey stars向病毒加密的计算机敲诈422个文件格式,不只包括常用文档、图片、数据库文件,还包括一些效劳器运转所需的脚本文件,包括python脚本、PHP脚本、powershell脚本等。在加密进程中,grey stars敲诈顺序病毒绕过磁盘c下的目录(桌面和文档文件夹除外),以确保系统正常运转,并终止与数据库相关的进程以确保数据库文件加密成功。由于灰星敲诈病毒是“加密原始文件生成新文件删除原始文件”,一些只读权限目录会出现加密文件不存在但原始文件被删除的状况,这招致一些效劳器无法经过支付赎金来恢复文件。图5显示了灰星敲诈病毒加密的文件格式。
图5灰星敲诈病毒加密文件格式
一切加密文件都用后缀“grey stars @ proton邮件”作为后缀。com”以及由此发生的敲诈音讯要求受益者将0.08比特币的赎金传送到指定地址以解密文件。图6显示敲诈信息。
图6敲诈信息
WebLogic效劳器末尾敲诈病毒的喜爱
2017年,WebLogic迸发了两个严重的反序列化破绽,区分影响到Oracle WebLogic server 10 . 3 . 6 . 0、12 . 1 . 3 . 0、12 . 2 . 1 . 0、12 . 2 . 1 . 1等版本,这两个破绽也被普遍用于将开掘特洛伊木马植入效劳器。到目前为止,仍有许多效劳器尚未更新WebLogic。
2018年4月,360 internet security检测到两个敲诈者病毒家族撒旦和灰星末尾攻击WebLogic效劳器。如图7所示,撒旦敲诈者病毒的传达趋向,撒旦敲诈者病毒不时处于生动形状,影响着全国100多家企业效劳器。灰星敲诈病毒仅在4月21日迸发,至今仍影响着近100台企业效劳器。
图7撒旦敲诈病毒4月份传达趋向
为什么WebLogic效劳器末尾敲诈病毒喜爱。其主要缘由有两个:一是未更新的WebLogic效劳器数量庞大,破绽应用攻击难度大,黑客的攻击支出与攻击本钱之比很高;第二,这种效劳器系统普通归企业一切,企业支付赎金回收文件的能够性比用户大得多。这种攻击效劳器普通是无人值守或被无视的一种机器,开掘这种效劳器上的木马攻击不会惹起效劳器管理员过多的噪音和相应企业的留意,而敲诈病毒的攻击能够会形成效劳器瘫痪并影响企业的运营,这也是敲诈病毒经常暴露的缘由。
维护建议
1 .将WebLogic效劳器更新为最新版本。
2 .装置平安软件以阻拦此类病毒。
领取专属 10元无门槛券
私享最新 技术干货