歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

內網公網全覆蓋、Win/Linux兩開花:深入分析Satan勒索軟件的傳播技術

來源:本站整理 作者:佚名 時間:2019-05-22 TAG: 我要投稿

一、概述
Satan勒索軟件自2017年初首次出現,從那時起,威脅行為者不斷改進惡意軟件,以更加有效地感染受害者,并最大化其利潤。例如,FortiGuard實驗室發現了一項惡意活動,該惡意活動還利用加密貨幣惡意軟件作為額外的Payload,以最大限度地從受害者身上獲取利潤。
這個文件加密惡意軟件,除了同時支持Linux和Windows平臺之外,還利用眾多漏洞,通過公開和外部網絡進行傳播。實際上,FortiGuard實驗室已經發現了一個新的變種,它所利用的特定漏洞數量再次有所增加。
本文詳細描述Satan惡意軟件如何從內部網絡和外部網絡中找到新的目標。
二、新型漏洞利用
該惡意軟件的初始傳播工具,Windows上的conn.exe和Linux上的conn32/64,能夠通過內部網絡和外部網絡實現傳播。在較舊的惡意軟件系列中,其Linux組件(conn32/64)僅通過非A類的專用網絡傳播。但是,經過不斷更新后,目前最新版本的惡意軟件已經支持私有網絡和公共網絡的同時傳播。對于Windows組件(conn.exe)來說,并沒有太多改變,其中甚至還包含永恒之藍漏洞利用(來自NSA,EternalBlue)和開源應用程序Mimikatz。
這一更新版本中,仍然利用了此前發現的大多數漏洞,但Apache Struts2遠程代碼執行漏洞(S2-045和S2-057)已經被刪除,具體原因不明。該惡意軟件利用的一些漏洞包括:
· JBoss默認配置漏洞(CVE-2010-0738)
· Tomcat任意文件上傳漏洞(CVE-2017-12615)
· WebLogic任意文件上傳漏洞(CVE-2018-2894)
· WebLogic WLS組件漏洞(CVE-2017-10271)
· Windows SMB遠程代碼執行漏洞(MS17-010)
· Spring Data Commons遠程代碼執行漏洞(CVE-2018-1273)
我們觀察到惡意軟件的主要更新,是添加了幾個Web應用程序遠程代碼執行漏洞,這些漏洞也同時在Linux版本中實現。下面是該惡意軟件利用的新漏洞:
· Spring Data REST補丁請求(CVE-2017-8046)
· ElasticSearch(CVE-2015-1427)
· ThinkPHP 5.X遠程執行代碼(無CVE編號)
三、傳播方式分析
接下來,我們來深入分析該惡意軟件的傳播方式。如上所述,該傳播工具可以通過內部網絡和公共網絡傳播,該工具將會執行IP地址遍歷,并嘗試針對稽查發現的每個IP地址進行掃描,并針對下面描述的硬編碼端口列表,執行特定的漏洞利用嘗試。為了提高效率,該惡意軟件實現了多線程,針對每個目標IP和每個端口的單次傳播嘗試都將使用一個單獨的線程。
四、目標網絡
針對私有網絡,該惡意軟件會檢索受害者網絡中所有可能的IP地址。無論是哪種類型的網絡,Windows版本的傳播工具都會嘗試傳播到私有網絡中的主機。相反,Linux版本則會避免使用A類私有網絡。
Linux傳播工具檢查私有IP地址:

傳播工具將遍歷網絡中所有子網的全部IP地址,試圖掃描網絡中的所有主機。下圖展現了迭代目標IP地址的Linux版本惡意軟件代碼。Windows版本中也使用相同的實現方法。
傳播到私有網絡(conn32):

在針對公網IP為目標的情況下,傳播工具從其C2服務器檢索目標,如下圖所示。在該位置,會對目標IP地址進行迭代,范圍為xxx.xxx.xxx.1到xxx.xxx.xxx.254。在我們的監控中,該惡意活動中提供的所有目標IP都位于中國。
從C2服務器接收目標公網IP

五、漏洞利用
在Windows組件中,實現了永恒之藍漏洞利用、Mimikatz憑據竊取、SSH暴力破解攻擊以及許多用于傳播的Web漏洞。除了永恒之藍漏洞和Mimikatz之外,其他的漏洞利用也同樣包含在Linux版本之中。
該惡意軟件還包含其嘗試利用的服務和應用程序常用的目標端口的硬編碼列表。針對每個TCP端口,它會嘗試掃描并執行其完整的漏洞利用列表。同時,為了提高效率,將會為每個端口生成子線程。
針對Windows組件,如果端口號為445(SMB/CIFS),則執行永恒之藍漏洞利用。如果端口號為22(SSH),則使用硬編碼的用戶名和密碼列表執行SSH暴力破解。如果實際開啟的端口不是上述端口,則會嘗試執行Web應用程序漏洞利用。
針對Windows進行目標端口檢查:

針對Linux系統,不會進行445端口(SMB)的檢查,其他端口稽查和漏洞利用的方案與Windows版本大致相同。
針對Linux進行目標端口檢查:

從現在開始,惡意軟件開始執行標準的漏洞利用過程,找到運行特定易受攻擊服務或應用程序的主機,并嘗試進行漏洞利用。每個目標Web應用程序都有自己定義的URL,惡意軟件會嘗試訪問該URL,然后觸發針對目標主機的攻擊。
掃描Web應用程序并進行利用:

接下來,惡意軟件會將其針對目標主機執行的每個漏洞利用程序通知C2服務器。
將漏洞利用執行報告發送至C2服務器:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 188比分直播足球比分3g 20选5 山西快乐十分 军民融合概念股 宁夏十一选五 保定股指期货配资 广东36选7 新疆11选5 个人投资稳定理财产品 中国石化股票分析报告 北京十一选五 免费股票分析软件排行榜 炒股背景 中国股票指数曲线 上证指数腾讯财经 格力电器股票分析报告