Lucky多平台勒索病毒出现 启明星辰提供解决方案
发布时间 2018-11-30
近日,一款名为Lucky的跨平台勒索病毒出现。该病毒传播能力极强,可运用多种漏洞组合进行传播,同时支持感染Linux和Windows操作系统,加密文件采用高强度加密RSA+AES算法,并且还会消耗主机资源进行挖矿。
Lucky勒索病毒整体流程如下:
技术分析:
Lucky病毒分为多个模块,包括下载模块,传播模块、勒索模块和挖矿模块等。
1、下载模块
主要是下载Windows平台下的conn.exe和srv.exe到C:\Program Files\Common File\System目录下然后调用ShellExecute去执行。
2、传播模块
传播模块主要的功能是负责windows平台上的横向移动,会使用如下漏洞或弱口令进行传播。
● Apache Struts2远程代码执行漏洞
Windows系统利用CVE-2018-1273漏洞上传fast.exe病毒Downloader至C盘根目录。
Linux系统利用CVE-2018-1273漏洞上传ft32和ft64病毒Downloader至服务器。
● Tomcat管理后台弱口令爆破
● JBoss默认配置漏洞
● Weblogic WLS 组件漏洞
● Struts2远程执行S2-057漏洞
● Struts2远程执行S2-045漏洞
● Windows SMB远程代码执行漏洞MS17-010(永恒之蓝)
3、勒索模块
Windows平台下会遍历下面这些后缀的文件并使用RSA+AES算法对文件进行加密,加密后的文件扩展名为“.Lucky”。
同时排除以下路径:
Linux系统下则会加密如下后缀名的文件:
bak zip sql mdf ldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cer psd
并排除如下路径:
/bin/ /boot/ /sbin/ /tmp/ /dev/ /etc/ /lib/
无论是哪种操作系统,在加密完成后都会将session ID、被加密文件个数、文件大小,系统等信息上报到C&C服务器。
4、挖矿模块
挖矿模块使用开源代码编写,其矿池地址如下:
解决方案
1、产品防护
● 已部署启明星辰IDS,IPS,WAF产品的客户请确认如下事件规则已经下发并应用,即可有效检测/阻断Lucky病毒的传播。
● 已部署启明星辰APT产品的客户无需升级,即可在Lucky病毒下载过程中还原样本并有效检测。
传播模块:
挖矿模块:
2、另外,对于未中病毒的机器应采取以下措施避免受到感染:
● 给系统和应用程序打全补丁,断绝木马传播途径。
● 关闭局域网共享,以及非常用端口,避免遭受感染。
对于已中毒的机器应该采取以下措施阻止病毒继续传播:
● 隔离感染主机,关闭所有网络连接,防止横向传播。
● 使用杀毒软件全盘查杀木马。
● 修补对应的系统或应用漏洞。
Lucky勒索病毒整体流程如下:
技术分析:
Lucky病毒分为多个模块,包括下载模块,传播模块、勒索模块和挖矿模块等。
1、下载模块
主要是下载Windows平台下的conn.exe和srv.exe到C:\Program Files\Common File\System目录下然后调用ShellExecute去执行。
2、传播模块
传播模块主要的功能是负责windows平台上的横向移动,会使用如下漏洞或弱口令进行传播。
● Apache Struts2远程代码执行漏洞
● CVE-2018-1273漏洞
Windows系统利用CVE-2018-1273漏洞上传fast.exe病毒Downloader至C盘根目录。
Linux系统利用CVE-2018-1273漏洞上传ft32和ft64病毒Downloader至服务器。
● Tomcat管理后台弱口令爆破
● 系统账户和密码爆破
● JBoss反序列化漏洞利用
● JBoss默认配置漏洞
● Weblogic WLS 组件漏洞
● Struts2远程执行S2-057漏洞
● Struts2远程执行S2-045漏洞
● Windows SMB远程代码执行漏洞MS17-010(永恒之蓝)
3、勒索模块
Windows平台下会遍历下面这些后缀的文件并使用RSA+AES算法对文件进行加密,加密后的文件扩展名为“.Lucky”。
同时排除以下路径:
Linux系统下则会加密如下后缀名的文件:
bak zip sql mdf ldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cer psd
并排除如下路径:
/bin/ /boot/ /sbin/ /tmp/ /dev/ /etc/ /lib/
无论是哪种操作系统,在加密完成后都会将session ID、被加密文件个数、文件大小,系统等信息上报到C&C服务器。
4、挖矿模块
挖矿模块使用开源代码编写,其矿池地址如下:
解决方案
1、产品防护
● 已部署启明星辰IDS,IPS,WAF产品的客户请确认如下事件规则已经下发并应用,即可有效检测/阻断Lucky病毒的传播。
● 已部署启明星辰APT产品的客户无需升级,即可在Lucky病毒下载过程中还原样本并有效检测。
传播模块:
挖矿模块:
勒索模块:
2、另外,对于未中病毒的机器应采取以下措施避免受到感染:
● 给系统和应用程序打全补丁,断绝木马传播途径。
● 关闭局域网共享,以及非常用端口,避免遭受感染。
对于已中毒的机器应该采取以下措施阻止病毒继续传播:
● 隔离感染主机,关闭所有网络连接,防止横向传播。
● 使用杀毒软件全盘查杀木马。
● 修补对应的系统或应用漏洞。
京公网安备11010802024551号