Lucky雙平臺勒索者樣本的實例分析

今天就跟大家聊聊有關(guān)Lucky雙平臺勒索者樣本的實例分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

lucky是一款具備超強傳播能力的勒索者，360威脅情報中心最早監(jiān)測到該樣本于2018-11-03開始在互聯(lián)網(wǎng)絡(luò)活動，通過多種漏洞利用組合進行攻擊傳播，同時支持Windows和Linux兩種操作系統(tǒng)平臺，加密算法采用高強度的RSA+AES算法。同時該樣本還會進行挖礦木馬的種植。

僅在2018年11月內(nèi)，已監(jiān)測到受影響的機構(gòu)和個人約1000例左右。    

傳播模塊分析

Lucky模塊之一為.conn，該模塊與Satan(勒索者）的傳播模塊基本上一致，主要利用以下漏洞進行攻擊。

通過分析Conn模塊發(fā)現(xiàn)在該Linux樣本中發(fā)現(xiàn)了大量“.exe”的字樣，可以確定該樣本是個跨平臺攻擊樣本，通過Web應(yīng)用漏洞對Windows、Linux服務(wù)器進行無差別、無縫隙的攻擊。

主要利用的漏洞

1.ApacheStruts2遠程代碼執(zhí)行漏洞 

2.CVE-2018-1273漏洞    

針對Windows系統(tǒng)，利用CVE-2018-1273上傳fast.exe病毒Downloader至C盤根目錄下，下載地址為：hxxp://111.90.158.225/d/fast.exe，截至目前能下載到該樣本(MD5: fae322a3ec89c70cb45115779d52cf47)。

針對Linux系統(tǒng) ，利用CVE-2018-1273漏洞上傳ft32和ft64病毒Downloader至服務(wù)器，下載地址分別為hxxp://111.90.158.225/d/ft32和 hxxp://111.90.158.225/d/ft64。

3.Tomcat管理后臺弱口令爆破

4.嘗試爆破系統(tǒng)賬戶和密碼

另外，除了Tomcat的弱口令爆破，還會去嘗試爆破系統(tǒng)賬戶和密碼。

5.JBoss反序列化漏洞利用

6.JBoss默認配置漏洞

7.Weblogic WLS 組件漏洞

8.Struts2遠程執(zhí)行S2-057漏洞

9.Struts2遠程執(zhí)行S2-045

根據(jù)目標OS執(zhí)行不同的惡意命令：

10.Windows SMB遠程代碼執(zhí)行漏洞MS17-010（永恒之藍）

Conn模塊會通過永恒之藍工具進行橫向移動。 

11.Weblogic任意文件上傳漏洞(CVE-2018-2894)

12.Tomcat文件任意上傳漏洞    

Linux勒索部分分析

Lucky勒索者會加密以下后綴名的文件：

bak zip sql mdfldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cerps

加密過程中發(fā)現(xiàn)為以下目錄則直接返回跳過：

/bin, /boot,/sbin , /tmp, /etc, /etc, /lib

病毒使用RSA+AES 的加密方式對文件進行加密。

最后生成加密勒索信息,并將文件名改成[nmare@cock.li]+文件名 + Session + lucky后綴：

再將被加密文件的數(shù)量、大小、session等信息上傳到C2地址為111.90.158.225的服務(wù)器上。

Fast模塊分析

上文說到，針對windows平臺，會在c:\釋放一個文件fast.exe, 該文件其實是一個Downloader，分別去下載conn.exe和srv.exe到C：\Program Files\Common File\System目錄下然后調(diào)用ShellExecute去執(zhí)行該文件

Conn模塊分析

Conn主要的功能是負責windows平臺上的橫向移動, 使用到的漏洞和上文中提到的一致，首先Conn會從資源中釋放出永恒之藍攻擊模塊和Mimikatz（mmkt.exe）到C:\Users\All Users目錄下，如下圖。

動態(tài)調(diào)試結(jié)果如下：

當釋放完永恒之藍攻擊模塊后，將會先啟動 mmkt.exe獲取到windows賬戶密碼，用于新起線程進行攻擊工作，其中線程一啟動永恒之藍攻擊模塊, 如果是64位系統(tǒng)，則使用down64.dll作為payload 來使用。

該payload會下載fast.exe。

 線程二進行web服務(wù)的攻擊。

以下是conn.exe使用到的Weblogic ,Struts2, JBoss等漏洞攻擊 payload，詳細的漏洞攻擊情況已在上面漏洞版面講述，就不再贅述了。

Srv模塊分析

首先該模塊會去讀一下版本配置文件，檢測一遍是否要更新。當前分析時最新版本為1.13。

接著下載cpt.exe 和mn32.exe到C:\Program Files\CommonFiles\System目錄下并執(zhí)行：

執(zhí)行完上述邏輯后，然后判斷參數(shù)一，是否等于1或者2，如果參數(shù)一等于1則調(diào)用StartServiceCtrlDispatcherA函數(shù)啟動服務(wù)的回調(diào)函數(shù), 如果參數(shù)一等于2，再判斷參數(shù)二的參數(shù)是install還是removesrv，分別為安裝服務(wù)和卸載服務(wù)的功能。

創(chuàng)建的服務(wù)名稱叫作LogsServic指向srv本身。

最后獲取系統(tǒng)信息后拼接參數(shù)向服務(wù)端發(fā)送系統(tǒng)配置等信息。

http://111.90.158.225/token.php?sys=&c_type=&dis_type&num=&ver=

Cpt模塊分析

Cpt為windows版本的勒索加密者邏輯和linux的一樣，首先它嘗試關(guān)閉一些數(shù)據(jù)庫服務(wù)及進程以解除文件占用，方便對文件進行加密。

cpt.exe主要感染以下類型文件：

.bak.sql.mdf.ldf.myd.myi.dmp.xls.xlsx.docx.pptx.eps.txt.ppt.csv.rtf.pdf.db.vdi.vmdk.vmx.pem.pfx.cer.psd

不加密含有如下字符串的路徑：

windows , python2, python3 , microsoft games , boot , i386 , intel , dvd maker ,recycle ,jdk,lib ,libs ,allusers ,360rec ,360sec ,360sand ,favorites ,common files,internet explorer ,msbuild ,public ,360downloads ,windows defen ,windows mail,windows media    pl ,windows nt ,windows photo viewer ,windows sidebar ,defaultuser

通過該排除路徑的信息，我們猜測該勒索者為國人制作。

同樣windows版本的勒索加密部分和linux一樣也是lucky后綴。

同樣加密算法采用AES+RSA加密。

最后將session ID 文件個數(shù)，文件大小，系統(tǒng)，等等信息上報到服務(wù)端。

Mn32模塊分析

該模塊是挖礦木馬使用了如下開源代碼。

https://github.com/alloyproject/xmrig/blob/master/src/core/ConfigLoader_platform.h

挖礦木馬的礦池地址如下： 

總結(jié)&防御策略

該樣本使用多種漏洞攻擊組合，進行勒索和挖礦等行為，應(yīng)給系統(tǒng)和應(yīng)用打全補丁切斷傳播途徑，關(guān)閉不必要的網(wǎng)絡(luò)共享端口，關(guān)閉異常的外聯(lián)訪問。

看完上述內(nèi)容，你們對Lucky雙平臺勒索者樣本的實例分析有進一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。