新型勒索病毒来袭

新型勒索病毒来袭
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
详细分析 | 全新“撒旦”Satan勒索病毒来袭 瑞星认证厂商2018-07-26共282878人围观 ，发现 12 个不明物体 系统安全网络安全
近日，瑞星威胁情报平台发现多起国内用户感染“撒旦”Satan勒索病毒事件。据瑞星安全研究人员介绍，该病毒运行后会加密受害者计算机文件，加密完成后会用中英韩三国语言索取1个比特币作为赎金，并威胁三天内不支付将不予解密。与以往常见的勒索病毒不同，“撒旦”不仅会对感染病毒的电脑下手，同时病毒还会利用多个漏洞继续攻击其它电脑。

image001.png

图：感染“撒旦”病毒后弹出的勒索窗口

瑞星安全研究人员对最新版本的“撒旦”Satan勒索病毒进行了分析，发现该病毒与以往勒索病毒有较大的不同，“撒旦”Satan勒索病毒不仅使用永恒之蓝漏洞攻击，还增加了其它的漏洞攻击。包括文件上传漏洞、tomcat弱口令漏洞、WebLogic WLS组件漏洞、JBOOS 反序列化漏洞等。

虽然永恒之蓝已经过去很久，但是国内很多用户出于各种原因依然没有打补丁，这导致很多企业存在极大的安全隐患。“撒旦”Satan勒索病毒可通过漏洞进行传播，所以不下载可疑程序并不能防止感染病毒，如果不打补丁，即使没有任何操作只要联网就有可能被攻击，因此及时更新补丁，排查web漏洞，提高服务器安全才能最大限度的防御此类病毒。

防范措施
Ø 更新永恒之蓝漏洞补丁。

Ø 及时更新web漏洞补丁，升级web组件。

Ø 开启防火墙关闭445端口。

Ø 安装杀毒软件保持监控开启。

Ø 安装瑞星之剑勒索防御软件。

由于“撒旦”Satan勒索病毒使用对称加密算法加密，密钥硬编码在病毒程序和被加密文件中，因此可以解密。目前，瑞星已经开发出了解密工具，如果用户中了此病毒可下载此工具恢复被加密文件，下载地址：

http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe。

解密工具使用方法
1、查看勒索信息是否和报告中的相同；

2、判断被加密文件名是否为[dbger@protonmail.com]+原始文件名+.dbger，或者[satan_pro@mail.ru]+原始文件名+.satan；

3、运行解密工具；

4、点击“文件”按钮选中要解密的文件夹；

image005.png

5、点击“解密”后，被加密文件将会被解密；

image007.png

可以看到同目录下生成了被解密的文件，但是加密的文件将会被保留，用户查看确定文件被完全解密后，可删除被加密文件。在不确定解密文件是否正确的情况下，不要轻易删除被加密文件，防止其它类型病毒变种加密的文件没有被解密。

image009.png

image011.png

6、目前最新版本可以解密，如遇到此病毒的其它变种无法解密，可联系瑞星公司。

病毒详细分析
病毒攻击流程如下：

image013.png

图：病毒攻击流程

新版撒旦Satan勒索病毒运行后会创建一个互斥体“SATAN_SCAN_APP”，如果已经存在则退出。

image015.png

图：创建互斥体

如果不存在则开始执行恶意功能，从资源中释放需要用到的恶意模块到C:\\Users\\All Users 目录下，包括永恒之蓝攻击工具、加密模块、密码抓取工具Mimikatz。

释放永恒之蓝攻击工具，其中blue.exe 是永恒之蓝漏洞攻击工具，star.exe是脉冲双星后门植入工具，down64.dll 是漏洞攻击成功后植入被攻击机器的后门，功能是下载勒索病毒母体，其它文件都是攻击工具需要用到的依赖库和配置文件。

image017.pngimage019.pngimage021.pngimage023.pngimage025.pngimage027.pngimage029.pngimage031.pngimage033.pngimage035.pngimage037.pngimage039.pngimage041.pngimage043.pngimage045.pngimage047.pngimage049.pngimage051.pngimage053.pngimage055.pngimage057.pngimage059.pngimage061.png

图：释放永恒之蓝攻击工具

释放加密模块，负责加密受害者计算机中的文件，针对加密模块的分析详见下文“加密模块分析”部分。

image063.png

图：释放加密模块

判断系统架构，释放不同版本的密码抓取工具Mimikatz 并运行，64位系统从资源MINI64释放，32位系统从资源MINI32释放，命名为mmkt.exe。

image065.png

图：释放运行密码抓取工具

密码抓取模块运行后会将抓取到的用户名保存到病毒目录下的“uname”文件中，密码保存到“upass”文件中。运行加密勒索模块，加密本机文件。

image067.png

图：运行加密模块

创建三个线程攻击网络中的其它机器。

image069.png

图：创建线程攻击其它机器

线程1，获取本机IP地址。

image071.png

图:获取本机IP

循环攻击本地局域网Local_IP/16，16位子网掩码的网段。例如192.168.1.1——192.168.255.255，覆盖65536台主机，而不是仅仅攻击255台主机，相对而言攻击范围更广。

创建线程传入要攻击的IP。

image073.pngimage075.png

图：循环攻击局域网主机

只攻击指定IP的445端口。

image077.png

图：线程1只攻击445端口

线程2，攻击局域网中除了445端口之外的其它硬编码的226个端口。创建线程，传入攻击IP和端口，与线程1不同，线程1只传入攻击IP，端口固定445。线程2在创建子线程的时候传入了攻击IP和端口 。

image079.png

图：使用web漏洞攻击局域网中的机器

和线程1相比，线程2增加了一个判断，如果传入的端口是445，则执行永恒之蓝漏洞攻击，否则执行web漏洞攻击，不过针对445端口的永恒之蓝攻击不会生效，因为硬编码的226个端口中不包含445端口，即使包含，上层函数也不会传递445端口。因为线程1就可以完成局域网的445端口攻击了，此处就不用再攻击了。此病毒旧版本的硬编码端口列表中包含445端口。新版本的端口列表修改了，但是这里的代码没有修改，因此这里的判断显得有些多余。

image081.png

图：判断端口执行攻击

此外在执行web攻击之前会设置一个标志位，如果端口是443或8443则将标志位设置为1，目的是拼凑攻击报文时，区分http还是https。https服务默认443端口，tomcat的https服务需要8443端口。

image083.pngimage085.png

图：拼凑攻击报文

之所以没有固定端口，对同一个IP使用不同的端口循环攻击226次，是因为网络中有些机器没有打补丁，但是会将各种web服务的默认端口号修改为其它端口号，作为漏洞缓解措施。攻击者通过这种方式绕过缓解措施。这也为我们提了个醒，缓解措施很有可能被绕过，把漏洞彻底修复才能更大限度的避免被攻击。

硬编码的内置端口列表：

image087.png

图：硬编码的攻击端口列表

线程3和线程2的区别主要是线程2攻击的是局域网IP，线程3攻击的是内置的互联网IP，病毒内置了大量的IP段，循环随机选取攻击。

image089.png

图：循环攻击内置的IP段

从内置的硬编码的IP中，随机选取将要攻击的IP地址段。

image091.png

图：随机选取

线程3的攻击函数和线程2相同，攻击每个IP时，都会循环攻击硬编码的226个端口，同样由于内置的编码表中不含有445端口，攻击互联网的线程也无法对445端口发起永恒之蓝攻击，只会向指定的IP发起web攻击。

image093.png

图：循环攻击指定的IP端口

image095.png

图：判断端口执行攻击

永恒之蓝攻击，漏洞触发后会将down64.dll植入到被攻击机器。

image097.png

图：永恒之蓝攻击

down64.dll的功能是联网下载运行病毒母体，被攻击机器中毒后，又会循环同样的操作，加密本机文件勒索，攻击其它机器。

web攻击利用了多种漏洞，文件上传漏洞。

image099.png

图：文件上传漏洞

tomcat弱口令攻击。

image101.png

图：tomcat弱口令漏洞

CVE-2017-10271 WebLogic WLS组件漏洞。

image103.pngimage105.png

图：WebLogic WLS组件漏洞

CVE-2017-12149 JBOOS 反序列化漏洞。

image107.png

图：JBOOS 反序列化漏洞

加密模块分析，Satan勒索病毒主要针对数据文件进行加密，加密后追加文件后缀为“.dbger”。

image109.png

图：被加密文件的现象

勒索模块运行后，尝试对所有驱动器遍历文件，排除以下目录：

b1.png

表：病毒排除的目录

image111.png

图：病毒不加密的目录

当为如下后缀时，不会加密：

b2.png

表格：病毒排除的后缀

image113.png

图：病毒不加密的文件类型

然后创建线程对遍历到的文件进行加密，病毒还会尝试关闭SQL相关服务防止文件被占用无法加密。

image115.png

图：关闭SQL服务

加密后文件名:[dbger@protonmail.com]+原始文件名+.dbger。

image117.png

图：被加密的文件 命名规则

把加密密钥上传到给远程服务器101.99.84.136。

image119.png

图：访问控制服务器

病毒的加密算法，加密方式:使用CryptAPI进行加密，算法为RC4，密钥结构:[HardWareID]+k_str1+k_str2+k_str3+[PUBLIC]。

密钥示例如下：

image121.pngimage123.png

图：密钥结构

使用Windows自带的CryptAPI进行加密，MD5算法哈希密钥，加密算法为RC4。

image125.png

图：加密算法为RC4

硬编码了三个字符串，

k_str1:"dfsa#@FGDS!dsaKJiewiu*#&*))__=22121kD()@#(*#@#@!DSKL909*(!#!@AA"
k_str2:"*@#AdJJMLDML#SXAIO98390d&th2nfd%%u2j312&&dsjdAa"
k_str3:"@!FS#@DSKkop()(290#0^^^2920-((__!#*$gf4SAddAA"。
image127.png

图：硬编码的字符串，作为密钥的一部分

HardWareID和PUBLIC都是是随机生成的。首先，它会尝试读取保存在C:\Windows\Temp\KSession中的HardWareID值，如果失败则随机生成0×40大小字符串（固定的，加密过程只生成一次），然后写入了KSession文件中。

image129.png

图：生成HardWareID

image131.png

图：HardWareID会被保存在KSession文件中

同样的方式生成长度为0×20大小的PUBLIC值（每加密一个文件生成一次）。

image133.png

图：生成PUBLIC

从图中可以看到，每个文件的PUBLIC是不同的。

image135.png

图：每个文件的PUBLIC不同

最终HardWareID和PUBLIC都会追加到，被加密文件的末尾。

image137.png

图：可以在被加密的文件末尾看到HardWareID与PUBLIC的值

病毒为了加快加密速度，对不同大小，不同类型的文件采取不同的加密策略，重要的文档例如 word、excel文档全部加密。其它文档根据文件大小，加密文件约前二分之一、前五分之一不等。

特殊后缀如下，主要是比较重要的办公文档、源代码文档的后缀名。

b3.png

表：完全加密的特殊后缀

加密方式为如下几种：

1、小于等于100000000字节

（1）特殊后缀，完全加密。

（2）其它后缀，部分加密，加密大小的算法 CryptSize = (FileSize / 2000) *1000，约为文件的二分之一。

举个例子，文件小于等于100000000字节时，zip格式的压缩包就会被完全加密，而RAR格式的只会被加密大约二分之一，因为zip是病毒指定的特殊后缀，而RAR不在列表中。

2、大于100000000 字节的文件

（1）特殊后缀，完全加密。

（2）其它后缀，部分加密，加密大小的算法 CryptSize = (FileSize / 5000) *1000，约为文件的五分之一。

举个例子，文件大于100000000字节时，zip格式的压缩包就会被完全加密，而RAR格式的 只会被加密大约五分之一，因为zip是病毒指定的特殊后缀，而RAR不在列表中。

当加密完成后，病毒会打开勒索文本提示用户支付赎金。勒索信息提供三种语言英文、中文和韩文，威胁受害者在三天之内向作者支付1个比特币，否则文件无法解密，并且重要文件被公开。然而事实上文件可以解密，并且病毒作者也没有获取到受害者的文件。

比特币钱包:3EbN7FP8f8x9FPQQoJKXvyoHJgSkKmAHPY

邮箱:dbger@protonmail.com

image001.png

图：弹出勒索信息

IOC
MD5

ECF5CABC81047B46977A4DF9D8D68797 病毒母体

C0150256A864E5C634380A53290C7649 加密模块

C&C

http://101.99.84.136

http://101.99.84.136/cab/sts.exe

http://101.99.84.136/cab/st.exe

http://101.99.84.136/data/token.php?status=ST&code=

http://101.99.84.136/data/token.php?status=BK&code=

http://101.99.84.136/data/token.php?status=DB&code=

http://101.99.84.136/data/token.php?status=ALL&code=

http://101.99.84.136/count.php?url=

*本文作者：瑞星，转载请注明来自FreeBuf.COM

瑞星
瑞星
12 篇文章
等级： 4级
||
上一篇：蓝宝菇(APT-C-12)最新攻击样本及C&C机制分析下一篇：Mirai和Gafgyt僵尸网络新变种近期十分活跃
这些评论亮了

360安全卫士 回复
厉害了我的小狮子
)12(亮了
发表评论已有 12 条评论

Zzzxbug (2级) 好看的皮囊千篇一律，有趣的灵魂万中无一 2018-07-26回复 1楼
哦，我居然从头到尾看完啦 :!:

亮了(3)

360安全卫士 2018-07-26回复 2楼
厉害了我的小狮子

亮了(12)

哎呀 2018-07-26回复 3楼
最新的是3.3版。。解不开。。

亮了(1)

瑞星 认证厂商(4级) 北京瑞星网安技术股份有限公司 2018-07-26回复
@ 哎呀 解不开的文件有多大？是那台电脑所有被加密文件都解不开，还是就这一个解不开？

请将该文件上传百度网盘，提供下载地址和联系方式（比如QQ号），以便工程师尽快核实。

亮了(1)

test 2018-07-26回复 4楼
为啥你们的解密工具满满地山寨感呢？

亮了(1)

zhuimeng_1 (1级) 默默吃鸡者. 2018-07-26回复
@ test 全是抄的，哪来的山寨？瑞星已经没有真正的技术人员了，大多数是翻译抄袭

亮了(1)

你牛逼 2018-07-26回复
@ test 你牛逼，一个解密的小工具还能看出山寨，你怕是失了智

亮了(2)

反向Q作者 2018-07-26回复 5楼
小狮子，这波可以的。

亮了(1)

fuckgod (1级) 2018-07-26回复 6楼
小狮子又复活了？

亮了(1)

chenglee (1级) 锦衣卫 2018-07-26回复 7楼
看不懂 :sad:

亮了(0)

t1ddl3r 专栏作者(1级) 2018-08-01回复 8楼
小狮子复活啦？

亮了(0)

菠萝 2018-08-06回复 9楼
小狮子好厉害的样子~

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
瑞星
瑞星认证厂商

北京瑞星网安技术股份有限公司

12
文章数
3
评论数
最近文章
2018年上半年中国网络安全报告
2018.08.12

详细分析 | 全新“撒旦”Satan勒索病毒来袭
2018.07.26

2017年中国网络安全报告
2018.02.04

浏览更多
相关阅读
AVCrypt：一款尝试卸载反病毒软件的勒索病毒Android新型勒索病毒：加密文件内容，锁定手机屏幕腾讯反病毒实验室对GandCrab勒索病毒家族的总结分析详细分析 | 全新“撒旦”Satan勒索病毒来袭GlobeImposter勒索病毒技术分析报告
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php0daybank