一、家族简介
撒旦(Satan)病毒是一款恶意勒索程序,首次出现2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本进行传播。
Satan勒索病毒主要用于针对服务器的数据库文件进行加密,非常具有针对性,当文件的后缀名为:
mdf、ldf、myd、myi、frm、dbf、bak、sql、rar、zip、dmp
时,则加密相应的文件,如果后缀是如下列表:
cab、dll、msi、exe、lib、iso、bin、bmp、tmp、log、ocx、chm、dat、sys、wim、dic、sdi、lnk、gho、pbk
则不加密文件。
二、家族发展演变史
第一代撒旦(Satan)勒索病毒
2017年1月份,国外某安全研究人员,在Twitter发布了一款新型的利用RaaS进行传播的勒索病毒,如下:
此勒索病毒允许任何人通过注册一个帐户,就可以在其网站上创建他们自己的定制版的撒旦(Satan)勒索病毒,相关的暗网网站域名如下:
satan6dll23napb5.onion (目前该网站已关闭)
第二代撒旦(Satan)勒索病毒
2016年Shadow Brokers入侵NSA下属Equation Group,并最终于2017年4月14晚,Shadow Brokers在互联网上发布了之前获得的NSA方程式黑客组织的部分文件,包含针对windows操作系统以及其他服务器系统软件的多个高危漏洞工具(永恒之蓝)等。
2017年5月12日,WannaCry爆发,随后又有多起利用永恒之蓝的勒索病毒出现,如:
NotPetya等,它们都使用了永恒之蓝漏洞用于在内网中迅速传播,扩大感染面,而且勒索支付率较高,此时撒旦(Satan)勒索病毒制作团伙,也看准了这个机会,于是暗中开发出它们的更新版本,于2017年11月左右更新出了利用永恒之蓝传播的撒旦(Satan)勒索病毒最新变种。
2017年12月份,国外安全研究人员在Twitter更新了撒旦(Satan)勒索病毒的最新进展,发现其利用了永恒之蓝进行传播,如下:
2018年4月份,国内安全厂商都监控到了大量的撒旦(Satan)病毒传播,于是发布了相关的公布和预警,深信服EDR安全团队也第一时间跟进了此事,并对Satan的变种进行了相关的报道,如下:
撒旦(Satan)勒索病毒最新的变种,相对于第一版的RaaS的撒旦(Satan)勒索病毒,不仅仅使用了永恒之蓝漏洞进行传播,而且其更具有针对性,只加密服务器中相应的数据库文件,不加密其它类型的文件,同时勒索病毒会使用三种语言显示勒索信息,如下:
第三代撒旦(Satan)勒索病毒
2018年5月底出现了撒旦(Satan)勒索病毒的最新的变种,它不仅仅利用了永恒之蓝漏洞,还利用了多个WEB相关的漏洞进行传播,国外某安全厂商也对相关的样本进行了跟踪分析,同时深信服EDR也跟踪了此事,并在公司内部发布了相应的预警报告,如下:
同时我们从撒旦勒索病毒的一个远程恶意服务器上发现了相应的样本以及各种内网传播工具包,如下所示:
从上可以发现,黑客服务器上各种内网传播的相关漏洞利用工具、脚本等,第三代撒旦勒索病毒,加密使用的后缀未发生改变,同样使用.satan,传播方式,不仅仅利用永恒之蓝进行传播,同时也利用了多个WEB利用漏洞进行传播,相关的WEB漏洞列表如下:
JBoss反序列化漏洞(CVE-2017-12149)
JBoss默认配置漏洞(CVE-2010-0738)
Put任意上传文件漏洞
Tomcat web管理后台弱口令爆破
Weblogic WLS 组件漏洞(CVE-2017-10271)
第四代撒旦(Satan)勒索病毒
最近MalwareHunterTeam发现了一款新型的Satan勒索病毒DBGer勒索病毒,其属于撒旦(Satan)勒索病毒的最新的变种样本,不仅仅利用了之前的一些安全漏洞,同时还加上了Mimikatz的功能,如下:
其加密后的文件后缀名变为了.dbger
撒旦(Satan)勒索病毒经过一年多的变化,其传播方式不断在发生改变,黑客的主要目的就是为了扩大感染面积,提高赎金的支付率,下表为该勒索病毒四次版本的比较:
三、发展趋势与预防措施
2017年勒索病毒爆发的一年,由于永恒之蓝漏洞的公开,导致勒索病毒可以在内网中迅速传播,大量用户中招,有人说2018年勒索病毒不流行了,事实上,从我们监控的数据可以发现勒索病毒在2018年仍然非常流行,基本上每天都会有新的变种或新的家族出现,仍然是恶意软件中最严重的威胁,深信服EDR安全团队,通过深入分析研究了十几款勒索病毒家族,从中得出了2018年上半年最流行的最新勒索病毒“四大家族”,分别是:
1.Globelmposter勒索病毒
2018年3月份在国内各大医院爆发,主要通过RDP爆破的方式植入,到目前为止,短短几个月的时候内,已经发现多个此勒索病毒的变种样本,其加密后的文件后缀多达十几个之多,目前仍然不断有新的医院受到此勒索病毒的攻击。
2.CrySiS勒索病毒
2018年3月爆发,国内数台服务器文件被加密为.java后缀的文件,采用RSA+AES加密算法,主要通过RDP爆破的方式植入,同时此勒索病毒在最近也不断出现它的新的变种,其加密后缀也不断变化之中。
3.GandGrab勒索病毒
GandGrab勒索家族是2018年1月首次才出现的,应该算是勒索病毒家族中的最年轻,但是最流行的一个勒索病毒家族,短短几个月的时候内,就出现了多个此勒索病毒家族的变种,而且此勒索病毒使用的感染方式也不断发生变化,使用的技术也不断在更新,此勒索病毒主要通过邮件进行传播,采用RSA+ASE加密的方式进行加密,文件无法还原。
4.Satan勒索病毒
Satan勒索病毒最新的几款变种,主要通过RDP爆破的方式植入服务器,主要针对服务器的数据库文件进行加密,而且不断增加各种内网传播的技术,利用了永恒之蓝等多个漏洞,增加感染面积,可见背后的黑客团伙不断地在更新此勒索病毒的内网传播手段。
以上“四大家族”可以称得上是2018年上半年最流行最活跃的勒索病毒家族,不断接到客户反馈被以上勒索病毒攻击,一部分用户只能去找黑客,试图还原文件,目前此“四大家族”勒索病毒加密后的文件均无法还原。
深信服EDR安全团队,一直在密切关注跟踪监控各类勒索病毒的发展,同时尽量在第一时间拿到相关的勒索病毒样本,对样本进行详细深入的分析,同时在深信服EDR产品中增加相应的防御措施,并共享相应的情报给深信服其他安全类产品(SIP/AF)团队,共同防御各种恶意攻击,目前深信服EDR能有效检测及防御一百五十多种相应的勒索病毒家族及变种,部分截图如下:
恶意样本威胁一直是终端安全最需要解决的问题之一,目前各个平台的恶意样本,基本情况如下:
Windows平台:勒索病毒、挖矿病毒、各类APT(RAT类商业间谍活动)为主
Linux平台:DDOS攻击,挖矿病毒为主
Android/iOS平台:盗号、刷流量、钓鱼,DDOS为主
IoT平台:以Mirai变种利用IoT漏洞的DDOS攻击为主
Mac平台:盗号,后门,勒索为主
2018年勒索病毒仍然是Windows终端安全最大的安全威胁之一,它严重影响受害者的正常业务,其中感染方式也在不断的更新中,各类安全风险也一直存在:
(1) 有多少个勒索病毒黑产团伙?
(2) 外界有多少台服务器存在RDP爆破的风险?
(3) 外界有多少台主机没有打上相应的安全补丁,存在安全风险?
(4) 员工的安全意识是否足够?随意打开下载邮件附件,被钓鱼?随意在第三方或不明网站下载各种软件?
......
如何有效的御防未知的安全风险,再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1.不要点击来源不明的邮件附件,不从不明网站下载软件
2.及时给主机打补丁,修复相应的高危漏洞
3.对重要的数据文件定期进行非本地备份
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等
5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码
6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能
*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM