新“撒旦”降临,网络安全再面临重大威胁

新“撒旦”降临,网络安全再面临重大威胁

2017年WannaCry勒索软件席卷全球后,勒索软件/病毒开始频繁出现在大众视野。作为2018年度活跃度最高的勒索软件之一——撒旦(Satan)则频繁更新,给网络安全带来了更大的威胁。近期,Satan勒索软件再次出现了一个名为Lucky的新变种,它利用的是影响Windows和基于Linux服务器的多个应用程序漏洞,且攻击者正在向服务器端漏洞发展。

自2017年初首次发现Satan勒索软件以来,它已多次浮出水面,不断暴露出新的漏洞利用。它始于一个独特的勒索软件即服务模式(RaaS),使得任何网络犯罪分子都能够根据自身需要创建一个定制版本的勒索软件。

2018年,该勒索软件在沉寂一段时间后又再次出现在大众的视野。这一次,它将EternalBlue和Mimikatz攻击添加到其武器库中。在以前的版本中,Satan勒索软件主要利用的是影响Windows操作系统的漏洞。但是,在其最新版本中,它已经开始利用多个影响Linux和Windows系统的服务器端漏洞。

新Satan勒索软件——Lucky揭秘

这款新Satan勒索软件的变种,被称为“Lucky”,尽显反讽之意。它于2018年11月首次被安全厂商绿盟科技(NSFocus)发现。绿盟科技报告称,Lucky通过利用影响Windows服务的几个应用程序漏洞(Apache Tomcat、JBoss、WebLogic、Springs和Apache Struts)来进行分发传播。

Lucky的传播方式主要类似于蠕虫病毒,但除了加密目标文件外,它不会对受感染的计算机执行任何明显的恶意操作。另一家网络安全公司深信服科技(Sangfor Tech)也发现了Lucky,该公司在其金融业客户的Linux服务器中发现了此勒索软件。深信服科技发现Lucky会对目标文件进行加密,并将“.lucky”扩展名添加到被加密文件的名称中。

1.Lucky的加密进程

读取文件/tmp/Ssession:

新“撒旦”降临,网络安全再面临重大威胁

加密系统文件,并添加文件扩展名“.lucky”:

新“撒旦”降临,网络安全再面临重大威胁

新“撒旦”降临,网络安全再面临重大威胁

以下文件被排除在加密文件类型之外:

新“撒旦”降临,网络安全再面临重大威胁

而加密文件类型包括:

新“撒旦”降临,网络安全再面临重大威胁

2.攻击程序

ft32是Lucky的病毒载体,模块conn32和cry32分别负责分发传播和加密行动。

1.ft32病毒载体将自身复制为.loop,并使其在主机启动时自动启动;

2..loop从C&C服务器下载模块conn32和cry32并执行它们;

3.模块cry32加密系统文件,并将.lucky扩展名附加到被加密文件名称中;

4.模块conn32扫描LAN主机是否存在漏洞,并利用漏洞分发传播该病毒载体。

新“撒旦”降临,网络安全再面临重大威胁

类似于Conn和Satan在Windows上传播勒索软件,Lucky勒索软件利用了以下漏洞:

1.JBoss反序列化漏洞(CVE-2013-4810);

2.JBoss 默认配置漏洞(CVE-2010-0738);

3.Tomcat任意文件上传漏洞(CVE-2017-12615);

4.Tomcat web管理控制台后台登录密码暴力攻击;

5.Weblogic WLS组件漏洞(CVE-2017-10271);

6.Windows(SMB远程执行代码漏洞MS17-010);

7.Apache(Struts2远程代码执行漏洞S2-045);

8.Apache(Struts2远程代码执行漏洞S2-057)。

Satan勒索软件的演变

尽管与去年的WannaCry和NetPetya攻击活动相比,2018年主要的勒索软件攻击活动有所下降,但随着服务器端的可利用漏洞越来越多,勒索软件仍然对在线服务所有者构成重要威胁。

新“撒旦”降临,网络安全再面临重大威胁

从Satan和其他勒索软件威胁案例中可以发现,攻击者已将其战略从主要针对操作系统漏洞转变为针对服务器端漏洞,而这种转变可能会产生更大的影响。这种战略转变的原因之一可能是修补服务器以及减轻勒索软件攻击对服务器的影响要更加耗时,并可能导致被攻击的在线服务的停机。

应对措施

服务器端漏洞暴露的主要原因之一是许多服务器仍使用较旧版本的应用程序或库,而它们极容易受到此前攻击活动的影响。因此,对于任何受影响的Web服务器的所有者都必须升级Lucky所针对的所有应用程序。

此外,Lucky还利用Windows操作系统服务中的漏洞,这意味着所有者还需要安装必要的安全补丁以避免攻击。绿盟科技在其博客文章中提供了修复所需的补丁和升级的完整列表。除此之外,在维护任何在线服务时始终遵循行业最佳安全措施非常重要,这些措施包括:

1.更改默认管理帐户用户名,并使用复杂的密码;

2.使用最新的安全解决方案来抵御未来可能的攻击;

3.将关键的网络项与其他部分隔离开来,以防止勒索软件的传播;

4.对员工进行培训,以便在发生任何攻击时采取有效的威胁应对措施;

5.定期备份关键数据,以避免任何数据丢失;

6.尽快隔离受病毒感染的主机,并禁用其所有连接和网络适配器。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133322.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code