Lucky多平台勒索病毒出现 启明星辰提供解决方案

发布时间 2018-11-30

近日,一款名为Lucky的跨平台勒索病毒出现。该病毒传播能力极强,可运用多种漏洞组合进行传播,同时支持感染Linux和Windows操作系统,加密文件采用高强度加密RSA+AES算法,并且还会消耗主机资源进行挖矿。


Lucky勒索病毒整体流程如下:
 




技术分析:


Lucky病毒分为多个模块,包括下载模块,传播模块、勒索模块和挖矿模块等。


1、下载模块


主要是下载Windows平台下的conn.exe和srv.exe到C:\Program Files\Common File\System目录下然后调用ShellExecute去执行。


2、传播模块


传播模块主要的功能是负责windows平台上的横向移动,会使用如下漏洞或弱口令进行传播。



● Apache Struts2远程代码执行漏洞



● CVE-2018-1273漏洞



Windows系统利用CVE-2018-1273漏洞上传fast.exe病毒Downloader至C盘根目录。
 



Linux系统利用CVE-2018-1273漏洞上传ft32和ft64病毒Downloader至服务器。



● Tomcat管理后台弱口令爆破
 





● 系统账户和密码爆破

 





● JBoss反序列化漏洞利用

 


● JBoss默认配置漏洞
 




● Weblogic WLS 组件漏洞
 



● Struts2远程执行S2-057漏洞
 



● Struts2远程执行S2-045漏洞
 






● Windows SMB远程代码执行漏洞MS17-010(永恒之蓝)
 




3、勒索模块


Windows平台下会遍历下面这些后缀的文件并使用RSA+AES算法对文件进行加密,加密后的文件扩展名为“.Lucky”。
 



同时排除以下路径:



 Linux系统下则会加密如下后缀名的文件:
bak zip sql mdf ldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cer psd
并排除如下路径:
/bin/ /boot/ /sbin/ /tmp/ /dev/ /etc/ /lib/
无论是哪种操作系统,在加密完成后都会将session ID、被加密文件个数、文件大小,系统等信息上报到C&C服务器。
 

 
4、挖矿模块


挖矿模块使用开源代码编写,其矿池地址如下:
 

 
解决方案


1、产品防护


● 已部署启明星辰IDS,IPS,WAF产品的客户请确认如下事件规则已经下发并应用,即可有效检测/阻断Lucky病毒的传播。
 

   
● 已部署启明星辰APT产品的客户无需升级,即可在Lucky病毒下载过程中还原样本并有效检测。


传播模块:
 



挖矿模块:


勒索模块:




 2、另外,对于未中病毒的机器应采取以下措施避免受到感染:


● 给系统和应用程序打全补丁,断绝木马传播途径。
● 关闭局域网共享,以及非常用端口,避免遭受感染。


对于已中毒的机器应该采取以下措施阻止病毒继续传播:


● 隔离感染主机,关闭所有网络连接,防止横向传播。
● 使用杀毒软件全盘查杀木马。
● 修补对应的系统或应用漏洞。