歡迎光臨
每天分享高質量文章

全新“撒旦”Satan勒索病毒來襲  瑞星獨家提供解密工具

近日,瑞星威脅情報平臺發現多起國內使用者感染“撒旦”Satan勒索病毒事件。據瑞星安全研究人員介紹,該病毒執行後會加密受害者計算機檔案,加密完成後會用中英韓三國語言索取1個比特幣作為贖金,並威脅三天內不支付將不予解密。與以往常見的勒索病毒不同,“撒旦”不僅會對感染病毒的電腦下手,同時病毒還會利用多個漏洞繼續攻擊其它電腦。目前,瑞星公司已開發出獨家解密工具,如果使用者電腦中的檔案已被“撒旦”病毒加密,可嘗試下載解密。(下載地址:http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe)


圖:感染“撒旦”病毒後彈出的勒索視窗


瑞星安全研究人員對最新版本的“撒旦”Satan勒索病毒進行了分析,發現該病毒與以往勒索病毒有較大的不同,“撒旦”Satan勒索病毒不僅使用永恆之藍漏洞攻擊,還增加了其它的漏洞攻擊。包括檔案上傳漏洞、tomcat弱口令漏洞、WebLogic WLS元件漏洞、JBOOS 反序列化漏洞等。


雖然永恆之藍已經過去很久,但是國內很多使用者出於各種原因依然沒有打補丁,這導致很多企業存在極大的安全隱患。“撒旦”Satan勒索病毒可透過漏洞進行傳播,所以不下載可疑程式並不能防止感染病毒,如果不打補丁,即使沒有任何操作只要聯網就有可能被攻擊,因此及時更新補丁,排查web漏洞,提高伺服器安全才能最大限度的防禦此類病毒。


防範措施

 

  • 更新永恆之藍漏洞補丁。

  • 及時更新web漏洞補丁,升級web元件。

  • 開啟防火牆關閉445埠。

  • 安裝防毒軟體保持監控開啟。

  • 安裝瑞星之劍勒索防禦軟體。


由於“撒旦”Satan勒索病毒使用對稱加密演演算法加密,金鑰硬編碼在病毒程式和被加密檔案中,因此可以解密。目前,瑞星已經開發出瞭解密工具,如果使用者中了此病毒可下載此工具恢復被加密檔案,下載地址:

http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe。


解密工具使用方法


1、檢視勒索資訊是否和報告中的相同。


2、判斷被加密檔案名是否為[dbger@protonmail.com]+原始檔案名+.dbger,或者[satan_pro@mail.ru]+原始檔案名+.satan。

 

3、執行解密工具


4、點選 “檔案”按鈕選中要解密的檔案夾。


5、點選“解密”後,被加密檔案將會被解密。


可以看到同目錄下生成了被解密的檔案,但是加密的檔案將會被保留,使用者檢視確定檔案被完全解密後,可刪除被加密檔案。在不確定解密檔案是否正確的情況下,不要輕易刪除被加密檔案,防止其它型別病毒變種加密的檔案沒有被解密。



6、目前最新版本可以解密,如遇到此病毒的其它變種無法解密,可聯絡瑞星公司。

病毒詳細分析


病毒攻擊流程如下:

圖:病毒攻擊流程


新版撒旦Satan勒索病毒執行後會建立一個互斥體“SATAN_SCAN_APP”,如果已經存在則退出。


圖:建立互斥體


如果不存在則開始執行惡意功能,從資源中釋放需要用到的惡意模組到C:\Users\All Users 目錄下,包括永恆之藍攻擊工具、加密模組、密碼抓取工具Mimikatz。


釋放永恆之藍攻擊工具,其中blue.exe 是永恆之藍漏洞攻擊工具,star.exe是脈衝雙星後門植入工具,down64.dll 是漏洞攻擊成功後植入被攻擊機器的後門,功能是下載勒索病毒母體,


其它檔案都是攻擊工具需要用到的依賴庫和配置檔案。


圖:釋放永恆之藍攻擊工具

 

釋放加密模組,負責加密受害者計算機中的檔案,針對加密模組的分析詳見下文“加密模組分析”部分。


圖:釋放加密模組

 

判斷系統架構,釋放不同版本的密碼抓取工具Mimikatz 並執行,64位系統從資源MINI64釋放,32位系統從資源MINI32釋放,命名為mmkt.exe。


圖:釋放執行密碼抓取工具

 

密碼抓取模組執行後會將抓取到的使用者名稱儲存到病毒目錄下的“uname”檔案中,密碼儲存到“upass”檔案中。執行加密勒索模組,加密本機檔案。


圖:執行加密模組


建立三個執行緒攻擊網路中的其它機器。

圖:建立執行緒攻擊其它機器

 

執行緒1,獲取本機IP地址。

圖:獲取本機IP

 

迴圈攻擊本地區域網Local_IP/16,16位子網掩碼的網段。例如192.168.1.1——192.168.255.255,改寫65536臺主機,而不是僅僅攻擊255臺主機,相對而言攻擊範圍更廣。


建立執行緒傳入要攻擊的IP。

圖:迴圈攻擊區域網主機


只攻擊指定IP的445埠。

 

圖:執行緒1只攻擊445埠


執行緒2,攻擊區域網中除了445埠之外的其它硬編碼的226個埠。建立執行緒,傳入攻擊IP和埠,與執行緒1不同,執行緒1只傳入攻擊IP,埠固定445。執行緒2在建立子執行緒的時候傳入了攻擊IP和埠。


圖:使用web漏洞攻擊區域網中的機器


和執行緒1相比,執行緒2增加了一個判斷,如果傳入的埠是445,則執行永恆之藍漏洞攻擊,否則執行web漏洞攻擊,不過針對445埠的永恆之藍攻擊不會生效,因為硬編碼的226個埠中不包含445埠,即使包含,上層函式也不會傳遞445埠。因為執行緒1就可以完成區域網的445埠攻擊了,此處就不用再攻擊了。此病毒舊版本的硬編碼埠串列中包含445埠。新版本的埠串列修改了,但是這裡的程式碼沒有修改,因此這裡的判斷顯得有些多餘。


圖:判斷埠執行攻擊


此外在執行web攻擊之前會設定一個標誌位,如果埠是443或8443則將標誌位設定為1,目的是拼湊攻擊報文時,區分http還是https。https服務預設443埠,tomcat的https服務需要8443埠。


圖:拼湊攻擊報文

 

之所以沒有固定埠,對同一個IP使用不同的埠迴圈攻擊226次,是因為網路中有些機器沒有打補丁,但是會將各種web服務的預設埠號修改為其它埠號,作為漏洞緩解措施。攻擊者透過這種方式繞過緩解措施。這也為我們提了個醒,緩解措施很有可能被繞過,把漏洞徹底修複才能更大限度的避免被攻擊。


硬編碼的內建埠串列:

圖:硬編碼的攻擊埠串列


執行緒3和執行緒2的區別主要是執行緒2攻擊的是區域網IP,執行緒3攻擊的是內建的網際網路IP,病毒內建了大量的IP段,迴圈隨機選取攻擊。


圖:迴圈攻擊內建的IP段

 

從內建的硬編碼的IP中,隨機選取將要攻擊的IP地址段。

圖:隨機選取


執行緒3的攻擊函式和執行緒2相同,攻擊每個IP時,都會迴圈攻擊硬編碼的226個埠,同樣由於內建的編碼表中不含有445埠,攻擊網際網路的執行緒也無法對445埠發起永恆之藍攻擊,只會向指定的IP發起web攻擊。


圖:迴圈攻擊指定的IP埠


圖:判斷埠執行攻擊


永恆之藍攻擊,漏洞觸發後會將down64.dll植入到被攻擊機器。

圖:永恆之藍攻擊


down64.dll的功能是聯網下載執行病毒母體,被攻擊機器中毒後,又會迴圈同樣的操作,加密本機檔案勒索,攻擊其它機器。


web攻擊利用了多種漏洞,檔案上傳漏洞。

 

圖:檔案上傳漏洞


tomcat弱口令攻擊。

圖:tomcat弱口令漏洞


CVE-2017-10271  WebLogic WLS元件漏洞。

圖:WebLogicWLS元件漏洞


CVE-2017-12149  JBOOS 反序列化漏洞。

 

圖:JBOOS 反序列化漏洞


加密模組分析,Satan勒索病毒主要針對資料檔案進行加密,加密後追加檔案字尾為“.dbger”。

圖:被加密檔案的現象



勒索模組執行後,嘗試對所有驅動器遍歷檔案,排除以下目錄:


Windows、python2、python3、microsoft games、boot、i386、intel、dvd maker、recycle、jdk、lib、libs、all users、360rec、360sec、360sand、favorites、common files、internet explorer、msbuild、public、360downloads、windows defen、windows mail、windows media pl、windows nt、windows photo viewer、windows sidebar、default user

表:病毒排除的目錄

圖:病毒不加密的目錄


當為如下字尾時,不會加密:

dbger、cab、pol、dll、msi、exe、lib、iso、bin、tmp、log、ocx、chm、dat、sys、dic、myd、sdi、lnk、gho、pbk

 表格:病毒排除的字尾


圖:病毒不加密的檔案型別


然後建立執行緒對遍歷到的檔案進行加密,病毒還會嘗試關閉SQL相關服務防止檔案被佔用無法加密。

圖:關閉SQL服務


加密後檔案名:[dbger@protonmail.com]+原始檔案名+.dbger。

圖:被加密的檔案 命名規則


把加密金鑰上傳到給遠端伺服器101.99.84.136。

圖:訪問控制伺服器


病毒的加密演演算法,加密方式:使用CryptAPI進行加密,演演算法為RC4,金鑰結構:[HardWareID]+k_str1+k_str2+k_str3+[PUBLIC]。


金鑰示例如下:

圖:金鑰結構


使用Windows自帶的CryptAPI進行加密,MD5演演算法雜湊金鑰,加密演演算法為RC4。

圖:加密演演算法為RC4

 

硬編碼了三個字串,

k_str1:”dfsa#@FGDS!dsaKJiewiu*#&*))__=22121kD()@#(*#@#@!DSKL909*(!#!@AA”

k_str2:”*@#AdJJMLDML#SXAIO98390d&th2nfd;%%u2j312&&dsjdAa;”

k_str3:”@!FS#@DSKkop()(290#0^^^2920-((__!#*$gf4SAddAA”。


圖:硬編碼的字串,作為金鑰的一部分


HardWareID和PUBLIC都是是隨機生成的。首先,它會嘗試讀取儲存在C:WindowsTempKSession中的HardWareID值,如果失敗則隨機生成0x40大小字串(固定的,加密過程只生成一次),然後寫入了KSession檔案中。


圖:生成HardWareID

 

圖:HardWareID會被儲存在KSession檔案中


同樣的方式生成長度為0x20大小的PUBLIC值(每加密一個檔案生成一次)。

圖:生成PUBLIC


從圖中可以看到,每個檔案的PUBLIC是不同的。

圖:每個檔案的PUBLIC不同


最終HardWareID和PUBLIC都會追加到,被加密檔案的末尾。

圖:可以在被加密的檔案末尾看到HardWareID與PUBLIC的值


病毒為了加快加密速度,對不同大小,不同型別的檔案採取不同的加密策略,重要的檔案例如 word、excel檔案全部加密。其它檔案根據檔案大小,加密檔案約前二分之一、前五分之一不等。


特殊字尾如下,主要是比較重要的辦公檔案、原始碼檔案的字尾名。


“sql” ,”zip” ,”php” ,”asp” ,”jsp” ,”cpp” ,”ini” ,”aspx” ,”cs” ,”py” ,”h” ,”vbs”,”bat”,”conf”,”sh”,”inc”,”e”,”c”,”pl”,”csv”,”asm”,”doc”,”docx”,”xls”,”xlsx”,”ppt”

表:完全加密的特殊字尾


加密方式為如下幾種:


1、小於等於100000000位元組 

 

(1)特殊字尾,完全加密。

(2)其它字尾,部分加密,加密大小的演演算法 CryptSize = (FileSize / 2000) *1000,約為檔案的二分之一。


舉個例子,檔案小於等於100000000位元組時,zip格式的壓縮包就會被完全加密,而RAR格式的只會被加密大約二分之一,因為zip是病毒指定的特殊字尾,而RAR不在串列中。


2、大於100000000 位元組的檔案 


(1)特殊字尾,完全加密。

(2)其它字尾,部分加密,加密大小的演演算法 CryptSize = (FileSize / 5000) *1000,約為檔案的五分之一。


舉個例子,檔案大於100000000位元組時,zip格式的壓縮包就會被完全加密,而RAR格式的只會被加密大約五分之一,因為zip是病毒指定的特殊字尾,而RAR不在串列中。


當加密完成後,病毒會開啟勒索文字提示使用者支付贖金。勒索資訊提供三種語言英文、中文和韓文,威脅受害者在三天之內向作者支付1個比特幣,否則檔案無法解密,並且重要檔案被公開。然而事實上檔案可以解密,並且病毒作者也沒有獲取到受害者的檔案。


比特幣錢包:3EbN7FP8f8x9FPQQoJKXvyoHJgSkKmAHPY

郵箱:dbger@protonmail.com

圖:彈出勒索資訊


IOC


MD5

ECF5CABC81047B46977A4DF9D8D68797   病毒母體

C0150256A864E5C634380A53290C7649        加密模組


C&C;

http://101.99.84.136

http://101.99.84.136/cab/sts.exe

http://101.99.84.136/cab/st.exe

http://101.99.84.136/data/token.php?status=ST&code;=

http://101.99.84.136/data/token.php?status=BK&code;=

http://101.99.84.136/data/token.php?status=DB&code;=

http://101.99.84.136/data/token.php?status=ALL&code;=

http://101.99.84.136/count.php?url=

贊(0)

分享創造快樂