首頁 > 關于我們 > 新聞動態 > 公司新聞

Lucky多平臺勒索病毒出現 啟明星辰提供解決方案

發布時間 2018-11-30
近日,一款名為Lucky的跨平臺勒索病毒出現。該病毒傳播能力極強,可運用多種漏洞組合進行傳播,同時支持感染Linux和Windows操作系統,加密文件采用高強度加密RSA+AES算法,并且還會消耗主機資源進行挖礦。


Lucky勒索病毒整體流程如下:
 



技術分析:


Lucky病毒分為多個模塊,包括下載模塊,傳播模塊、勒索模塊和挖礦模塊等。


1、下載模塊


主要是下載Windows平臺下的conn.exe和srv.exe到C:\Program Files\Common File\System目錄下然后調用ShellExecute去執行。


2、傳播模塊


傳播模塊主要的功能是負責windows平臺上的橫向移動,會使用如下漏洞或弱口令進行傳播。



● Apache Struts2遠程代碼執行漏洞



● CVE-2018-1273漏洞



Windows系統利用CVE-2018-1273漏洞上傳fast.exe病毒Downloader至C盤根目錄。
 



Linux系統利用CVE-2018-1273漏洞上傳ft32和ft64病毒Downloader至服務器。



● Tomcat管理后臺弱口令爆破
 





● 系統賬戶和密碼爆破

 





● JBoss反序列化漏洞利用

 


● JBoss默認配置漏洞
 




● Weblogic WLS 組件漏洞
 



● Struts2遠程執行S2-057漏洞
 



● Struts2遠程執行S2-045漏洞
 






● Windows SMB遠程代碼執行漏洞MS17-010(永恒之藍)
 




3、勒索模塊


Windows平臺下會遍歷下面這些后綴的文件并使用RSA+AES算法對文件進行加密,加密后的文件擴展名為“.Lucky”。
 



同時排除以下路徑:



 Linux系統下則會加密如下后綴名的文件:
bak zip sql mdf ldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cer psd
并排除如下路徑:
/bin/ /boot/ /sbin/ /tmp/ /dev/ /etc/ /lib/
無論是哪種操作系統,在加密完成后都會將session ID、被加密文件個數、文件大小,系統等信息上報到C&C服務器。
 

 
4、挖礦模塊


挖礦模塊使用開源代碼編寫,其礦池地址如下:
 

 
解決方案


1、產品防護


● 已部署啟明星辰IDS,IPS,WAF產品的客戶請確認如下事件規則已經下發并應用,即可有效檢測/阻斷Lucky病毒的傳播。
 

   
● 已部署啟明星辰APT產品的客戶無需升級,即可在Lucky病毒下載過程中還原樣本并有效檢測。


傳播模塊:
 



挖礦模塊:

勒索模塊:




 2、另外,對于未中病毒的機器應采取以下措施避免受到感染:


● 給系統和應用程序打全補丁,斷絕木馬傳播途徑。
● 關閉局域網共享,以及非常用端口,避免遭受感染。


對于已中毒的機器應該采取以下措施阻止病毒繼續傳播:


● 隔離感染主機,關閉所有網絡連接,防止橫向傳播。
● 使用殺毒軟件全盤查殺木馬。
● 修補對應的系統或應用漏洞。
 



上一篇 下一篇