360安全大腦監測發現,一個新型勒索病毒正在攻擊Weblogic、Jboss、Tomcat等Web應用,在成功通過Web應用入侵Windows服務器後,利用PowerShell執行勒索病毒,加密機器上的重要文件並索要0.2比特幣贖金。該勒索病毒之前未出現在其它廠商的報告中,我們根據其加密後綴名稱將其命名為alanwalker勒索病毒。
圖1 alanwalker勒索病毒勒索信息
圖2 被alanwalker勒索病毒加密的文件概覽
alanwalker勒索病毒入侵服務器之後,通過PowerShell執行遠程載荷,全程無文件落地,這在目前勒索病毒中較為少見。alanwalker入侵服務器後執行的命令如下圖所示。
圖3 alanwalker入侵服務器後執行的命令
該PowerShell命令執行後會從hxxp://112.175.29.43/e.png下載勒索病毒本地載入到PowerShell內存中執行。勒索病毒使用AES-256加密服務器中的重要文件後使用硬編碼在PowerShell載荷中的RSA公鑰加密AES密鑰。下圖是文件加密部分的代碼截圖。
圖4 alanwalker勒索病毒加密文件部分的代碼截圖
alanwalker勒索病毒加密超過420種文件類型,主要為在Windows服務器中較為重要的數據庫文件、壓縮包、文檔和可執行文件等。加密文件類型如下圖所示。
圖5 alanwalker勒索病毒加密的文件類型
加密完成後,alanwalker勒索病毒還會使用"永恆之藍"漏洞攻擊武器攻擊局域網中的其他機器,試圖將勒索病毒植入局域網中其他機器內。
圖6 alanwalker勒索病毒使用"永恆之藍"漏洞攻擊武器部分代碼
經過分析,alanwalker勒索病毒的主體代碼、加密文件類型、勒索信息與360安全大腦2018年4月發現的Greystars勒索病毒極其相似。alanwalker勒索病毒可能為Greystars的變種,也可能兩者使用了同一開發者所開發的勒索病毒。關於Greystars勒索病毒可以參考我們之前的報告:http://www.360.cn/newslist/dnaq/GreystarslsbdtxWeblogicfwdcwzzq.html。
值得一提的是,alanwalker勒索病毒在1月30日傳播時曾經使用github倉庫存儲PowerShell載荷,不過載荷地址在第一時間已經失效。alanwalker勒索病毒存儲載荷的方式與Greystars勒索病毒相同,而通過github等代碼倉庫存儲惡意載荷的情況也屢見不鮮,並且在未來將可能成為一種主流趨勢。
使用360安全衛士的用戶無需擔心,360安全衛士能夠有效攔截alanwalker勒索病毒的攻擊。此外,服務器管理員還應當及時修補操作系統、Web應用漏洞,使用強度高的系統登錄密碼和Web應用後臺登錄密碼,防止被勒索病毒重複攻擊。
IOCs
hxxp://112.175.29.43/e.png
hxxp://112.175.29.43/s.png
hxxps://raw.githubusercontent.com/alanwalkergod/impacket/master/tests/e.png
閱讀更多 360安全衛士 的文章
