Greystars勒索病毒突袭Weblo

2019年05月15日 来源:

北京时间4月21日,匿名黑客利用Weblogic反序列化漏洞向国内部份企业服务器投递Greystars勒索病毒,加密服务器中的重要文件并索要0.08个比特币,赎金当前约合人民币4761元。根据360互联安全中心的监控数据,有近百台服务器收到此次攻击的影响。

使用无文件攻击方式,攻击载荷托管在Gist上

Greystars勒索病毒借鉴近年来十分流行的无文件攻击方式,所有工作都在Windows合法进程Powershell中完成黑客利用Weblogic反序列化漏洞攻击服务器,控制服务器下载托管在Gist上的第一阶段载荷并运行,载荷读取托管在Gist上嵌入恶意内容的图片后解密图片内容获得第二阶段载荷并最终在PowerShell进程中履行。图1展示了完整攻击流程。

图1 Greystars勒索病毒完全攻击流程

第一阶段攻击载荷托管地址为hxxps://。黑客成功利用Weblogic反序列化漏洞入侵服务器后执行如图2所示命令,从托管地址下载攻击载荷履行。不同于大部分黑客使用个人域名作为载荷下载地址,Greystars勒索病毒选择Gist托管载荷,这么做的优势在于对于大部分杀毒软件和主机入侵防御系统而言是一个合法的域名,选择其作为载荷下载地址可以有效躲避拦截,不过这也增加黑客身份暴露的风险。

图2 黑客入侵服务器后执行的命令

使用图片隐写术隐藏恶意代码

第一阶段载荷内容的主要功能是从hxxps://下载嵌入恶意代码的图片并从图片中获取恶意代码履行。g是一张特殊的图片,黑客使用Invoke-PSImage工具将恶意代码插入其中。Invoke-PSImage是国外安全研究员Barrett Adams开发的PowerShell图片隐写工具,能够将恶意代码插入图片每一个像素点G和B两个颜色通道的最后4 bit。图3展示了Invoke-PSImage的简单工作原理。

图3 Invoke-PSImage的简单工作原理

由于颜色通道的最后4 bit对最终像素点的色彩出现并没有太大影响,通过Invoke-PSImage嵌入恶意代码的图片与原始图片几乎没有差别。黑客将这样一张正常的图片托管在Gist上也不会引发怀疑。

加密计算机中的重要文件并索要赎金

第二阶段的载荷是完成加密文件与勒索的履行体。载荷同样用PowerShell语言编写。

对每一台计算机,Greystars勒索病毒生成一个AES密钥用于加密文件,并通过内置的RSA公钥加密AES密钥。该RSA公钥存储于以硬编码方式写入代码的证书中,通过.NET X509Certificates类的PublicKey方法获取。由于PowerShell语言能够灵活操作.NET方法,Greystars勒索病毒利用这一特点将繁琐的密钥生成和密钥加密进程用简洁的PowerShell语言实现。图4展示了Greystars勒索病毒对AES密钥进行RSA加密的进程。

图4 Greystars勒索病毒对AES密钥进行RSA加密的过程

Greystars勒索病毒加密计算机中422种文件格式,不仅包括常见的文档、图片、数据库文件,也包括一些服务器运行所需要的脚本文件,包括python脚本、PHP脚本、PowerShell脚本等。加密进程中,Greystars勒索病毒会避开C盘下除了桌面文件夹和文档文件夹外的其他目录以保证系统正常运行,并且结束与数据库相关的进程保证数据库文件成功加密。由于Greystars勒索病毒采取的是加密原文件生成新文件删除原文件的方式,一些只有只读权限的目录会出现被加密的文件不存在但原文件被删除的情况,这就致使部分服务器没法通过缴纳赎金恢复文件。图5展示了Greystars勒索病毒加密的文件格式。

图5 Greystars勒索病毒加密的文件格式

所有被加密的文件都会加上后缀greystars@,生成的勒索信息要求受害者转账0.08个比特币的赎金到指定地址以解密文件。图6展现了勒索信息。

图6 勒索信息

Weblogic服务端开始受勒索病毒的青睐

2017年,Weblogic爆出两个严重的反序列化漏洞CVE-和CVE-,影响Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.0、12.2.1.1等多个版本,这两个漏洞也被广泛用于向服务器植入挖矿木马。时至今日,仍有许多服务器未对WebLogic进行更新。

2018年4月,360互联安全中心监测到两个勒索病毒家族Satan和Greystars开始攻击Weblogic服务端。如图7中Satan勒索病毒传播量趋势所示,Satan勒索病毒一直保持活跃状态,并且影响国内超过百台企业服务器。而Greystars勒索病毒虽然只在4月21日爆发,其依然影响了近百台企业服务器。

图7 Satan勒索病毒四月份的传播量变化趋势

为何Weblogic服务端开始受勒索病毒青睐。主要原因有两点:一是未进行更新的Weblogic服务端数量巨大,漏洞利用攻击难度较低,对于黑客而言攻击收益与攻击本钱之比非常高;2是这类服务器系统一般为企业所有,企业缴纳赎金恢复文件的可能性相比较用户而言要高很多。这类遭受攻击的服务器一般都是无人看管或疏于看管的一类机器,挖矿木马对这类服务器的攻击并不能造成太大动静引起服务器管理员以及相应企业的注意,而勒索病毒的攻击可能致使服务器瘫痪进而影响业务运行,这也是勒索病毒被常常曝光的缘由。

防护建议

1. 及时更新Weblogic服务端到最新版本。

2. 安装安全防护软件,拦截此类病毒。

IOC

hxxps://

hxxps://

调经可以吃益母颗粒吗
经血不畅痛经吃什么药
月经后期有血块什么危害
相关文章
  • 自创美味泰式红咖菠萝饭(图文超详细版)的做法
    自创美味泰式红咖菠萝饭(图文超详细版)的做法

    自创美味泰式红咖菠萝饭(图文超详细版)的做法喷香泰米用浓浓椰浆煮制成米饭,椰香实足!鸡肉培根腊肠吸入特色泰式红咖喱酱及虾酱精心熬煮收汁再配以五颜六色的彩蔬,酸甜菠萝丁融合炒制成咖喱饭,最后盛入菠萝盅入烤箱烤制,让菠萝的清香美妙的渗透入每...

  • 土鸡蛋进城记六安新闻
    土鸡蛋进城记六安新闻

    酒香不怕巷子深。金寨县桃岭乡牌坊村地处深山,却每天与外界保持紧密联系,山中养鸡、山外扬名。因这里的空气清新、环境怡人,沿着金寨县城到牌坊村蜿蜒的山道,每天清晨一辆辆运输鲜鸡蛋的车辆出入于此,成了村头一道风景。与静谧的山村相比,一排排鸡...

  • 韩国最大在野党前党首宣布退党遭执政党谴责
    韩国最大在野党前党首宣布退党遭执政党谴责

    据韩媒报道,韩国执政党新世界党谴责前新政治民主联合代表安哲秀退党一事称,这有可能是为了在明年举行的第20届国会议员选举中实现在野势力单一化而采取的政治举措。新世界党首席发言人金荣宇在13日召开的发布会上表示。金荣宇还指出,希望安哲秀带头推动...

  • 我国内陆最低机场吐鲁番机场6月上旬通航
    我国内陆最低机场吐鲁番机场6月上旬通航

    中广吐鲁番6月1日消息 (孙涛 吐鲁番台刘强) 吐鲁番机场迁建工程近日通过了民航新疆管理局、新疆发改委、审计厅、国土资源厅等单位全面验收,这意味着吐鲁番机场工程建设任务已全部完成,具备随时通航的条件,吐鲁番地区计划在6月上旬举行通航仪式。5月31日...

  • 秀木成林缘于众手辛勤浇灌
    秀木成林缘于众手辛勤浇灌

    6月上旬,广州军区某部高级工程师、博士后杨于村荣获第16届求是杰出青年实用工程奖。该奖是由中国科协颁发给青年科学家的极高荣誉。无独有偶,数年前广州军区另外一位获此殊荣的也是该部高级工程师杨丽华。10年前,该部从军内外引入了不少高学历人才,掀...

  • 印度首都旧城区一四层民房倒塌造成至少7人死亡
    印度首都旧城区一四层民房倒塌造成至少7人死亡

    摘要:据外电报道,印度首都新德里一座四层民居27日晚间倒塌,造成至少7人死亡。救援人员28日用挖掘机在事故现场进行搜救,并成功解救出一名被困于废墟内的男孩。,印度首都旧城区一四层民房倒塌 造成至少7人死亡中新9月28日电 据外电报道,印度首都新德里一...