匪夷所思:Satan变种病毒攻击Windows、Linux双平台,勒索、挖矿同时下手
一、背景
近期腾讯安全御见威胁情报中心发现Satan病毒最新变种,该变种病毒针对Windows系统和Linux系统进行无差别攻击,然后在中招电脑中植入勒索病毒勒索比特币、同时植入挖矿木马挖矿门罗币。
病毒攻击双平台容易理解,在入侵系统之后,同时植入勒索病毒和挖矿病毒,有点儿让人匪夷所思:挖矿病毒需要较长时间潜伏,生存时间越长,收益越大;而勒索病毒一旦加密用户数据,便会很快被用户注意到。用户一旦发现系统中了勒索病毒,往往会检查系统进行病毒查杀,或者将系统从网络断开,挖矿病毒便会难以藏身。
病毒在中招Windows电脑植入攻击模块conn.exe,该模块利用永恒之蓝漏洞对局域网Windows电脑进行攻击,同时攻击模块利用JBoss、Tomcat、Weblogic、Apache Struts2多个组件漏洞以及Tomcat弱口令爆破对Windows、Liunx服务器进行攻击;在中招Linux机器上,植入攻击模块conn32/conn64,该攻击模块利用与Windows版本相同类型的服务器组件漏洞、Tomcat弱口令爆破针对Windows、Liunx服务器进行攻击,并且、并且针对Linux系统利用SSH弱口令进行爆破攻击。
最新的Satan变种木马的攻击方式会导致相应的勒索、挖矿木马同时在Windows系统、Linux系统中进行蠕虫式传播。
Satan蠕虫变种攻击流程
二、详细分析
母体fast.exe在攻击成功后首先被植入,作为downloader运行后下载勒索模块cpt.exe,挖矿模块srv.exe以及攻击模块conn.exe。
三、勒索模块
勒索病毒cpt.exe,遍历文件进行加密,加密后添加后缀为.evopro,并提示勒索一个比特币(当前价格折合人民币25600元),如果在3天之内没有完成支付,则赎金翻倍。
四、挖矿模块
挖矿木马启动程序srv.exe拷贝自身到C:\Program Files\Common Files\System\srv.exe。
并安装为服务Logs Service进行启动。
搜集系统版本、CPU信息、显卡信息等上传至hxxp://111.90.159.106/token.php。
然后根据不同版本下载挖矿木马mn32.exe/mn64.exe。
mn32.exe基于门罗币挖矿程序XMRig修改编译而成,运行后连接矿池111.90.159.106:443进行挖矿。
五、攻击模块
1、永恒之蓝漏洞攻击
攻击模块conn.exe释放包含永恒之蓝、双脉冲星攻击程序的文件到ProgramData目录,然后扫描局域网机器139、445端口进行攻击。
漏洞攻击成功后在目标机器执行Payload文件down64.dll,Payload执行后通过certutil命令下载执行木马母体fast.exe。
2、应用程序组件漏洞攻击
攻击模块conn.exe构造漏洞利用代码代码同时针对Windows、Linux服务器上运行的JBoss、Tomcat、Weblogic、Apache Struts2等多个应用程序组件进行漏洞攻击、同时对Tomcat后台登录弱口令进行爆破攻击。攻击时利用以下漏洞:
· JBoss反序列化漏洞(CVE-2013-4810)
· JBoss默认配置漏洞(CVE-2010-0738)
· Tomcat任意文件上传漏洞(CVE-2017-12615)
· Weblogic WLS 组件漏洞(CVE-2017-10271)
· Apache Struts2远程代码执行漏洞S2-045
· Apache Struts2远程代码执行漏洞S2-057
3、Tomcat web管理后台弱口令爆破攻击
攻击成功后,针对Windows系统植入hxxp://111.90.159.106/d/fast.exe,针对Linux系统植入hxxp://111.90.159.106/d/ft32(或ft64)。
六、Linux样本
Linux服务器中招后被植入木马ft32/ft64,该程序执行后复制自身为.loop并添加启动项,根据参数判断是否已经拷贝,若已经拷贝则执行.loop,并在kill_All中对已有进程进行退出,在GetIpAdd中设置需要用到的IP地址,在SetMinner、SetScanner、SetCryptor中分别下载执行挖矿模块、攻击模块、加密勒索模块。
木马设置C2服务器IP地址及其上上存放的木马文件名。
下载执行挖矿模块mn32。
挖矿木马mn32、mn64使用与Windows版本相同的矿池111.90.159.106:443进行挖矿。
下载执行勒索模块cry32。
勒索模块运行后遍历文件加密,并添加后缀为.evopro。
勒索病毒提示Windows版本相同,索要一个比特币,并且3天过后赎金翻倍。
下载执行攻击模块conn32。
攻击模块conn32针对Windows、Linux服务器组件进行以下类型漏洞攻击(与Windows版本一致):
· JBoss反序列化漏洞(CVE-2013-4810)
· JBoss默认配置漏洞(CVE-2010-0738)
· Tomcat任意文件上传漏洞(CVE-2017-12615)
· Weblogic WLS 组件漏洞(CVE-2017-10271)
· Apache Struts2远程代码执行漏洞S2-045
· Apache Struts2远程代码执行漏洞S2-057
攻击模块conn32利用Tomcat web管理后台弱口令进行爆破攻击。
攻击模块同时针对Linux系统SSH弱口令进行爆破攻击。
攻击成功后,针对Windows系统植入hxxp://111.90.159.106/d/fast.exe,针对Linux系统植入hxxp://111.90.159.106/d/ft32(或ft64),母体文件被植入目标系统后,释放勒索及挖矿病毒,并且植入相应的攻击模块开启新一轮的攻击。
七、安全建议
1.服务器暂时关闭不必要的端口(如135、139、445)。
2.下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞。
XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系统访问: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
3.定期对服务器进行加固,尽早修复服务器相关组件安全漏洞,安装服务器端的安全软件;
4.服务器Tomcat后台登录、SSH登录使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
6. 中毒电脑除可查杀病毒,也可参考以下提示手动清理:
删除以下文件:
· C:\fast.exe
· C:\Program Files\Common Files\System\conn.exe
· C:\Program Files\Common Files\System\cpt.exe
· C:\Program Files\Common Files\System\srv.exe
· C:\Program Files\Common Files\System\svchost.exe
· C:\ProgramData\trfo-2.dll
· C:\ProgramData\tucl-1.dll
· C:\ProgramData\down64.dll
· C:\ProgramData\xdvl-0.dll
· C:\ProgramData\libxml2.dll
· C:\ProgramData\libeay32.dll
· C:\ProgramData\cnli-1.dll
· C:\ProgramData\blue.exe
· C:\ProgramData\star.exe
· C:\ProgramData\trch-1.dll
· C:\ProgramData\dmgd-4.dll
· C:\ProgramData\posh-0.dll
· C:\ProgramData\crli-0.dll
· C:\ProgramData\ucl.dll
· C:\ProgramData\zlib1.dll
· C:\ProgramData\ssleay32.dll
· C:\ProgramData\mmkt.exe
· C:\ProgramData\coli-0.dll
· C:\ProgramData\exma-1.dll
· C:\ProgramData\tibe-2.dll
删除注册表项:
· HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Logs Service
IOCs
MD5
Windows
· b25481f9108865d7718de57adfc7e5d4
· 81c47684810de8c858c4ed0cd93f3492
· ec3090129b7199b7754d8ac99d1c1814
· 92b5d938fa4b8f00e3f31b53c4fba46c
· d29055d7d59c786106c5239df0fd11ef
Linux
· 6536aba6d23045ac5f7bd1993f96f051
· 18e93bbccf52de70c89f4260d3d5fe29
· b7f9b95d14be0b5de1a6494a73977384
· 47578e86076b4ca0e1336d5ffec425c5
· 77bccc62f1c2b574a2e6e41d8bb401dd
· 190fa1d7e6908430fcb979a1cd2d403c
· c863991d171fbf069d661d3d412e25da
· 80d9ea5f6eddeb3323d3da63c67769b6
URL
· hxxp:// 111.90.159.106/d/fast.exe
· hxxp:// 111.90.159.106/d/cpt.exe
· hxxp:// 111.90.159.106/d/conn.exe
· hxxp:// 111.90.159.106/d/srv.exe
· hxxp:// 111.90.159.106/d/mn32.exe
· hxxp:// 111.90.159.106/d/ft32
· hxxp:// 111.90.159.106/d/ft64
· hxxp:// 111.90.159.106/d/cry32
· hxxp:// 111.90.159.106/d/cry64
· hxxp:// 111.90.159.106/d/mn32
· hxxp:// 111.90.159.106/d/mn64
· hxxp:// 111.90.159.106/d/conn32
· hxxp:// 111.90.159.106/d/conn64
IP
· 111.90.159.106
· 111.90.159.105
· 111.90.159.104
· 111.90.159.103
Tomcat弱密码字典:
· admin:admin
· tomcat:tomcat
· admin:1234
· manager:manager
· tomcat:s3cret
· tomcat:111111
· admin:111111
· tomcat:12345678
· admin:0000
· admin:123456
· tomcat:123456
· admin:123123
· admin:12345678
· tomcat:123123
· admin:000000
· admin:123
SSH弱密码字典:
用户名:
· root
· admin
· test
· user
密码:
· root
· admin
· 111111
· test
· password
· 123
· root123
· 12345678
· 123456789
· user
· abc123
· Password
· pass
· 1234
· 12345
· 123456
· 1234567
· 12345678
· 123456789
· root1234
· admin1234
· 123123
· 12345678
· 0000
· Abc123
· 000000
· admin1234
