07月19, 2019

Sodinokibi勒索病毒利用CVE-2018-8453发起攻击

  今年4月底,360安全大脑监控到有黑客通过Weblogic漏洞为主的各类Web组件漏洞攻击服务器,植入sodinokibi勒索病毒(小蓝屏勒索病毒)。在这之后的几天内,黑客开始使用更多方式传播sodinokibi勒索病毒,扩大传播范围。该病毒还利用了cve-2018-8453 Windows内核提权漏洞,使病毒威力进一步加强。根据360安全大脑的监控,这一病毒近期在持续发起攻击,管理员和企业用户应该做好防范。

image001.png 图1 sodinokibi勒索病毒勒索信息

传播

1. 通过Web应用漏洞攻击服务器植入sodinokibi勒索病毒

  通过Web应用漏洞攻击服务器植入sodinokibi勒索病毒是近期该病毒最为常用的传播方式,攻击者主要使用4月底刚披露的Weblogic远程代码执行漏洞CVE-2019-2725,并配合其他nday漏洞对Windows服务器发起攻击。在攻击目标的选择上,Weblogic占80%以上,这也是因为最新披露的Weblogic漏洞CVE-2019-2725相较于其他平台的nday漏洞攻击成功率更高,此外,Tomcat、PHPMyAdmin等Web应用也遭到攻击。

image003.png 图2 受攻击Web应用分布

  攻击成功后,通常使用PowerShell.exe或certutil.exe下载sodinokibi勒索病毒并运行,下载勒索病毒的命令行如下图所示。

image005.png 图3 攻击Web应用成功后植入勒索病毒时使用的命令行

  通过家族关联我们发现,今年4月底投递sodinokibi勒索病毒的攻击团伙与之前攻击Web应用漏洞投递GandCrab的攻击团伙有较大关联,两者使用多个相同的域名存放勒索病毒,该团伙上次攻击Web应用投递GandCrab勒索病毒的时间在4月15日左右,此外,该团伙在投递sodinokibi勒索病毒的同时也会往部分服务器投递GandCrab 5.2勒索病毒。

image007.png 图4 该攻击团伙使用同一域名存放GandCrab勒索病毒和sodinokibi勒索病毒 image009.png 图5 该攻击团伙在投递sodinokibi勒索病毒的同时也会投递GandCrab勒索病毒

  通过该攻击团伙的攻击趋势图更能直观看出,该攻击团伙在今年4月中旬之前一直传播GandCrab勒索病毒。为何该攻击团伙不再传播GandCrab勒索病毒勒索病毒而是选择一种新的勒索病毒呢?我们猜测该攻击团伙不愿意继续向GandCrab勒索病毒开发团队支付私钥购买费用。按照GandCrab勒索病毒开发团队的说法,传播GandCrab勒索病毒的黑客可以以100美元每个或者300美元每周的形式向GandCrab勒索病毒开发者购买私钥。而该攻击团伙由传播GandCrab勒索病毒转向传播sodinokibi勒索病毒,“单干”意图明显。

image011.png 图6 该攻击团伙传播不同勒索病毒趋势图

2. 通过垃圾邮件传播sodinokibi勒索病毒

  sodinokibi勒索病毒攻击Web应用的风波未平,攻击者又开始通过垃圾邮件传播sodinokibi勒索病毒。在5月1日-5月8日中,360安全大脑捕捉到两种通过垃圾邮件传播的sodinokibi勒索病毒载体,前者是伪装成图片的可执行文件,后者是带有恶意宏的Word文档。

  伪装成图片的可执行文件为“원본 이미지.jpg .exe”(中文名:原始图像)。垃圾邮件附件使用一种小众的压缩包格式egg,解压该压缩包即可获得勒索病毒可执行文件。攻击者在文件名中插入大量空格加长文件名从而隐藏后缀名,达到迷惑受害者的目的。

image013.png 图7 勒索病毒文件名

  从勒索病毒所使用的文件名看,攻击者的目标为韩语使用者。根据360安全大脑监控数据得知,遭到该钓鱼邮件攻击的国内用户主要为韩语教学从业者、外贸行业从业者以及在华韩国人。

  带有恶意宏的Word文档文件名为“견적 요청서-0508.doc”(中文名:要求报价-0508),用户点击文档并允许宏运行后,恶意文档会从hxxp://ooloolabc.com/aoofof.exe下载sodinokibi勒索病毒并运行。

image015.png 图 8 传播sodinokibi勒索病毒的文档内容 image017.png 图9 恶意文档中的部分宏代码

  遭到该钓鱼邮件攻击的国内用户主要包括运输行业从业者与外贸行业从业者,而这类以“报价”、“发票”等字样作为文件名的钓鱼文档也是这些行业遭到的钓鱼攻击中最常见的。

病毒分析

  和GandCrab的勒索病毒类似,sodinokibi也会删除系统的文件卷影副本,破坏系统的恢复功能:

image019.png 图10 病毒删除磁盘卷影副本

  在加密文件方面,使用了“白名单”机制,勒索病毒只避开了一些程序文件和系统运行所需的关键文件,其余文件类型一律加密,这也大大增强了病毒的破坏性。

image021.png 图11 待加密文件后缀

  值得一提的是,sodinokibi勒索病毒使用提权漏洞CVE-2018-8453将自身权限提升为SYSTEM。拥有SYSTEM权限后,sodinokibi勒索病毒拥有对更多文件的读写权,为加密计算机中的文件铺平了道路。

image022.png 图12 病毒自身提权

防护建议

  360安全大脑提醒广大管理员和企业用户,做好防护,抵御勒索病毒攻击,下面几条安全建议应格外注意:

  1. 服务器管理员应及时为系统及系统中运行的Web应用安装补丁,并使用强度较高的系统登录密码和Web应用后台登录密码;

  2. 不打开陌生人发来的邮件中的附件、文档、链接等;

  3. 安装可靠的安全软件来抵御勒索病毒的攻击。

image024.png 图13 拦截勒索病毒弹窗

IOCs

hxxp://165.22.155.69/wolf.exe

hxxp://188.166.74.218/go.b64

hxxp://188.166.74.218/fox.exe

hxxp://188.166.74.218/dog.exe

hxxp://188.166.74.218/ment.exe

hxxp://188.166.74.218/office.exe

hxxp://188.166.74.218/untitled.exe

hxxp://188.166.74.218/radm.exe

hxxp://45.55.211.79/.cache/untitled.exe

hxxp://68.183.62.59/horse.exe

8e00206418ab31539111515533a9953f

77fcd5f32613cec97cd2ebd2922685d2

5648049aade846e138f4d7c80b592505

145ba213336bbb05c09d2bcf198aa3bd

本文链接:http://blogs.360.cn/post/sodinokibi_ransomware_attacks_with_CVE-2018-8453.html

-- EOF --

Comments