北京時(shí)間4月21日，匿名黑客利用Weblogic反序列化漏洞向國內(nèi)部分企業(yè)服務(wù)器投遞Greystars勒索病毒，加密服務(wù)器中的重要文件并索要0.08個(gè)比特幣，贖金當(dāng)前約合人民幣4761元。根據(jù)360互聯(lián)網(wǎng)安全中心的監(jiān)控?cái)?shù)據(jù)，有近百臺服務(wù)器收到此次攻擊的影響。

　　使用“無文件”攻擊方式，攻擊載荷托管在Gist上

　　Greystars勒索病毒借鑒近年來十分流行的“無文件”攻擊方式，所有工作都在Windows合法進(jìn)程Powershell中完成——黑客利用Weblogic反序列化漏洞攻擊服務(wù)器，控制服務(wù)器下載托管在Gist上的第一階段載荷并運(yùn)行，載荷讀取托管在Gist上嵌入惡意內(nèi)容的圖片后解密圖片內(nèi)容獲得第二階段載荷并最終在PowerShell進(jìn)程中執(zhí)行。圖1展示了完整攻擊流程。

　　圖1 Greystars勒索病毒完整攻擊流程

　　第一階段攻擊載荷托管地址為hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/metasploit。黑客成功利用Weblogic反序列化漏洞入侵服務(wù)器后執(zhí)行如圖2所示命令，從托管地址下載攻擊載荷執(zhí)行。不同于大部分黑客使用個(gè)人域名作為載荷下載地址，Greystars勒索病毒選擇Gist托管載荷，這么做的優(yōu)勢在于raw.githubusercontent.com對于大部分殺毒軟件和主機(jī)入侵防御系統(tǒng)而言是一個(gè)合法的域名，選擇其作為載荷下載地址可以有效躲避攔截，不過這也增加黑客身份暴露的風(fēng)險(xiǎn)。

　　圖2 黑客入侵服務(wù)器后執(zhí)行的命令

　　　使用“圖片隱寫術(shù)”隱藏惡意代碼

　　第一階段載荷內(nèi)容的主要功能是從hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/web.png下載嵌入惡意代碼的圖片并從圖片中獲取惡意代碼執(zhí)行。web.png是一張?zhí)厥獾膱D片，黑客使用Invoke-PSImage工具將惡意代碼插入其中。Invoke-PSImage是國外安全研究員Barrett Adams開發(fā)的PowerShell圖片隱寫工具，能夠?qū)阂獯a插入圖片每個(gè)像素點(diǎn)G和B兩個(gè)顏色通道的最后4 bit。圖3展示了Invoke-PSImage的簡單工作原理。

　　圖3 Invoke-PSImage的簡單工作原理

　　由于顏色通道的最后4 bit對最終像素點(diǎn)的顏色呈現(xiàn)并無太大影響，通過Invoke-PSImage嵌入惡意代碼的圖片與原始圖片幾乎沒有差別。黑客將這樣一張“正常”的圖片托管在Gist上也不會引起懷疑。

　　加密計(jì)算機(jī)中的重要文件并索要贖金

　　第二階段的載荷是完成加密文件與勒索的執(zhí)行體。載荷同樣用PowerShell語言編寫。

　　對于每一臺計(jì)算機(jī)，Greystars勒索病毒生成一個(gè)AES密鑰用于加密文件，并通過內(nèi)置的RSA公鑰加密AES密鑰。該RSA公鑰存儲于以硬編碼方式寫入代碼的證書中，通過.NET X509Certificates類的PublicKey方法獲取。由于PowerShell語言能夠靈活操作.NET方法，Greystars勒索病毒利用這一特點(diǎn)將繁瑣的密鑰生成以及密鑰加密過程用簡潔的PowerShell語言實(shí)現(xiàn)。圖4展示了Greystars勒索病毒對AES密鑰進(jìn)行RSA加密的過程。

　　圖4 Greystars勒索病毒對AES密鑰進(jìn)行RSA加密的過程

　　Greystars勒索病毒加密計(jì)算機(jī)中422種文件格式，不僅包括常見的文檔、圖片、數(shù)據(jù)庫文件，也包括一些服務(wù)器運(yùn)行所需要的腳本文件，包括python腳本、PHP腳本、PowerShell腳本等。加密過程中，Greystars勒索病毒會避開C盤下除了桌面文件夾和文檔文件夾外的其他目錄以保證系統(tǒng)正常運(yùn)行，并且結(jié)束與數(shù)據(jù)庫相關(guān)的進(jìn)程保證數(shù)據(jù)庫文件成功加密。由于Greystars勒索病毒采用的是“加密原文件à生成新文件à刪除原文件”的方式，一些只有只讀權(quán)限的目錄會出現(xiàn)被加密的文件不存在但原文件被刪除的情況，這就導(dǎo)致部分服務(wù)器無法通過繳納贖金恢復(fù)文件。圖5展示了Greystars勒索病毒加密的文件格式。

　　圖5 Greystars勒索病毒加密的文件格式

　　所有被加密的文件都會加上后綴“greystars@protonmail.com”，生成的勒索信息要求受害者轉(zhuǎn)賬0.08個(gè)比特幣的贖金到指定地址以解密文件。圖6展示了勒索信息。

　　圖6 勒索信息

　　Weblogic服務(wù)端開始受勒索病毒的青睞

　　2017年，Weblogic爆出兩個(gè)嚴(yán)重的反序列化漏洞CVE-2017-3248和CVE-2017-10271，影響Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.0、12.2.1.1等多個(gè)版本，這兩個(gè)漏洞也被廣泛用于向服務(wù)器植入挖礦木馬。時(shí)至今日，仍有許多服務(wù)器未對WebLogic進(jìn)行更新。

　　2018年4月，360互聯(lián)網(wǎng)安全中心監(jiān)測到兩個(gè)勒索病毒家族Satan和Greystars開始攻擊Weblogic服務(wù)端。如圖7中Satan勒索病毒傳播量趨勢所示，Satan勒索病毒一直保持活躍狀態(tài)，并且影響國內(nèi)超過百臺企業(yè)服務(wù)器。而Greystars勒索病毒雖然只在4月21日爆發(fā)，其依然影響了近百臺企業(yè)服務(wù)器。

　　圖7 Satan勒索病毒四月份的傳播量變化趨勢

　　為何Weblogic服務(wù)端開始受勒索病毒青睞。主要原因有兩點(diǎn)：一是未進(jìn)行更新的Weblogic服務(wù)端數(shù)量巨大，漏洞利用攻擊難度較低，對于黑客而言攻擊收益與攻擊成本之比非常高;二是這類服務(wù)器系統(tǒng)一般為企業(yè)所有，企業(yè)繳納贖金恢復(fù)文件的可能性相比較用戶而言要高不少。這類遭受攻擊的服務(wù)器一般都是無人看管或者疏于看管的一類機(jī)器，挖礦木馬對這類服務(wù)器的攻擊并不能造成太大動(dòng)靜引起服務(wù)器管理員以及相應(yīng)企業(yè)的注意，而勒索病毒的攻擊可能導(dǎo)致服務(wù)器癱瘓進(jìn)而影響業(yè)務(wù)運(yùn)行，這也是勒索病毒被經(jīng)常曝光的原因。

　　　防護(hù)建議

　　1. 及時(shí)更新Weblogic服務(wù)端到最新版本。

　　2. 安裝安全防護(hù)軟件，攔截此類病毒。

　　　　IOC

　　hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/metasploit

　　hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/web.png

特別提醒：本網(wǎng)信息來自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時(shí)聯(lián)系我們，本站將會在24小時(shí)內(nèi)處理完畢。