一、概述勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的c&c服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。
御见威胁情报中心监测发现,从2018年10月份开始恶意js电子邮件附件数量持续增长。经分析发现,攻击者通过发送钓鱼邮件,诱导受害者打开并运行附件中的恶意js脚本,进而下载shade(幽灵)勒索病毒。该勒索病毒会下载cms暴力破解工具入侵wordpress、drupal、joomla、dle等cms站点,之后再通过这些被入侵的站点继续传播shade(幽灵)勒索病毒。截止目前,已有超过2000个cms站点遭到入侵。
注:cms站点是被业内广泛使用的内容管理系统,企业或个人可通过cms系统创建自己的博客、知识库、社区、论坛等内容网站。
shade(幽灵)勒索病毒首次出现于2014年末,针对windows操作系统,它主要通过axpergle和nuclear漏洞攻击包、钓鱼邮件等进行分发。历史版本加密文件后缀有“da_vinci_code”、“magic_software_syndicate”、“no_more_ransom”、“dexter”。而本次发现的病毒版本为v4001,加密文件后会添加“ crypted000007”后缀。
该版本的shade(幽灵)勒索病毒具有如下特点:
1、 加密jpg,jpeg,png,xls,xlsx,doc,docx,ppt,txt,mp3,mp4,mov等上百种常用类型的数据文件,不影响系统的正常运行;
2、 检查文件是否已经被加密,避免重复加密;
3、 删除卷影信息,删除备份相关文件;
4、 设置受害者的电脑桌面背景,英俄双语提示受害者文件已经被勒索;
5、 在受害者的电脑桌面上,创建了10个内容相同的文件readme1txt, readme10txt,文件中分别用英俄双语引导受害者通过邮件或者tor网络与攻击者联系解密;
6、 所有c2服务器都位于tor网络上;
7、 该版本的shade(幽灵)勒索病毒样本,绝大多数被存放在被攻陷的wordpress站点上,并伪装成jpg和pdf文件;
8、 下载cmsbrute(cms暴力破解者)模块入侵安全系数相对较低的wordpress等cms站点,攻陷的站点将作为shade(幽灵)勒索病毒的样本分发服务器。
shade(幽灵)勒索病毒的攻击流程大致如下图所示:
二、分析
21 邮件
攻击者伪装成银行项目经理,向受害者发送带有附件的钓鱼邮件。
22 附件中的恶意js
解压附件中的zip文件,得到的实际上是一个恶意js脚本,该脚本被攻击者进行了代码混淆。部分代码如下所示:
解密后的部分关键js代码如下,可以看到该js脚本会从联网下载名为ssjjpg的文件,并通过调用wscript来执行。
通过安图高级威胁追溯系统查询,可以发现下载的ssjjpg都被存放在被攻陷的wordpress站点上。
通过进一步的分析和整理,发现该ssjjpg文件其实是shade(幽灵)勒索病毒,在攻陷的wordpress站点上伪装的文件名主要为ssjjpg、sservjpg、zinfjpg、mxrpdf。
23 shade(幽灵)勒索病毒
运行后将自身复制到c:\programdata\windows\csrssexe,伪装成系统文件,并设置自启动。
保存配置信息到注册表hkey_local_machine\software\system32\
configuration,其中xpk为加密公钥,xi为受害者机器id,xversion为shade病毒的当前版本号。
扫描系统文件,并将以jpg,jpeg,png,xls,xlsx,doc,docx,ppt,tx,mp3,mp4,movt等常见类型的上百种文件进行加密,加密后文件名被更改为base64(原文件名)机器idcrypted000007,被加密后的文件如下图所示:
所有文件都加密完成后,设置桌面,英俄双语提醒受害者电脑中的文件已经被勒索
同时还在电脑桌面上创建了10个内容完全相同的文件readme1txt, readme10txt,文件内容同样也是俄英双语,攻击者提供了邮箱和tor网络两种方式让受害者与其联系获取解密方法。
使用tor网络访问攻击者留下的网址,页面同样用英俄双语引导用户提供readmetxt中的相关信息给攻击者。
填写信息后不到一盏茶的功夫,攻击者就给发来了邮件,要价0085比特币(折合人民币约2000元),同时免费帮受害者解密一个文件以证明攻击者确实有能力解密文件。
24 cmsbrute模块
前文提到过,本次爆发的shade(幽灵)勒索病毒的样本大多存放在被攻陷的wordpress站点上。经过我们的进一步分析,发现shade(幽灵)勒索病毒为了扩大自己的感染量,除了加密文件进行勒索外,还会下载cmsbrute(cms暴力破解工具)对全网扫描并入侵wordpress等站点。
cmsbrute模块可以对wordpress、drupal、joomla、dle等cms站点进行插件扫描、注入、爆破等行为,其部分核心函数如下图所示:
cmsbrute启动后,首先将自身复制到c:\programdata\drivers\csrssexe,并设置开机自启动
全网扫描时,排除ipv4和ipv6的局域网地址
构建请求的表单
将内置的sql语句填充到表单中,尝试对wordpress等站点进行注入攻击
三、安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的ip连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用acl和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,不要随意点击运行或打开附件中未知的文件。
7、在终端服务器部署专业安全防护软件,web服务器可考虑部署在云等具备专业安全防护能力的云服务。
8、建议全网安装御点终端安全管理系统(stencentcomproductydindexhtml)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、启用电脑管家,勿随意打开陌生邮件,或运行邮件附件中的未知文件,同时关闭office执行宏代码
2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
四、ioc
ip
171251939
194109206212
19323244244
12831039
767317194
2088322334
86592138
domain
x5oemza3jjjeb7j3onion
cryptsen7fo43rr6onionto
cryptsen7fo43rr6onioncab
url
hxxp:thuytienacademycomwp-contentthemesgeneratepressfontssservjpg
hxxp:nguyenthanhrioricomwp-contentthemesadvance-ecommerce-storewoocommercecheckoutsservjpg
hxxp:biennhoquancomwp-contentthemesbiennhosasselementssservjpg
hxxp:contealthcomwp-contentthemesbusiprof-profunctionscommentboxsservjpg
hxxp:wvaljssporgwp-contentthemessmartshooterprocssbutton-imagesservjpg
hxxp:kemenagluwutimurnetwp-contentthemeszerif-litevendorcodeinwpthemeisle-sdksservjpg
hxxps:dom-sochiinfostaticsmilessservjpg
hxxp:barhatinfowp-contentthemesmy-lovely-themecfgadminresourcessservjpg
hxxp:aiacadamycomwp-contentthemesvantagelesscsssservjpg
hxxp:shlyfsygroupcomwp-contentthemeswhiteangelimageszzsservjpg
hxxp:shlyfsygroupcomwp-admincssssjjpg
hxxp:shlyfsygroupcomwp-admincssmxrpdf
hxxp:shlyfsygroupcomwp-contentlanguagesthemeszinfjpg
md5
a9330c481e066ec768c8cd2fe47a76c3
b10074c46d03115a0cb6591ab5c4854c
ead4c51e83aeeb85a3a46d8f6062efae
e20774ae57f234c52f6ca73e54cd7ca4
e8f72b585c8a44ca148aee6f00eff876
ca84fed65adf022bd0d2477ebcc2329f
825054b3be961771e0be75e4b5498288
05c18c388bebea2b3f2463b2a5932b71
751af1bd3e398cb7f3c95bdc162f5817
1f8253d25439ff26273733a7c4959547
d478fd0974ab0ce6ea0fed098a30f
1f8253d25439ff26273733a7c4959547
8fbe9a961300fb62df587ed708160655
21fdba423358f6370a4da43f190026a8
e-mail
pilotpilot088@gmailcom
vladimirscherbinin1991@gmailcom