北京時間4月21日，匿名黑客利用Weblogic反序列化漏洞向國內(nèi)部分企業(yè)服務(wù)器投遞Greystars勒索病毒，加密服務(wù)器中的重要文件并索要0.08個比特幣，贖金當(dāng)前約合人民幣4761元。根據(jù)360互聯(lián)網(wǎng)安全中心的監(jiān)控數(shù)據(jù)，有近百臺服務(wù)器收到此次攻擊的影響。

　　使用“無文件”攻擊方式，攻擊載荷托管在Gist上

　　Greystars勒索病毒借鑒近年來十分流行的“無文件”攻擊方式，所有工作都在Windows合法進程Powershell中完成——黑客利用Weblogic反序列化漏洞攻擊服務(wù)器，控制服務(wù)器下載托管在Gist上的第一階段載荷并運行，載荷讀取托管在Gist上嵌入惡意內(nèi)容的圖片后解密圖片內(nèi)容獲得第二階段載荷并最終在PowerShell進程中執(zhí)行。圖1展示了完整攻擊流程。

　　圖1 Greystars勒索病毒完整攻擊流程

　　第一階段攻擊載荷托管地址為hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/metasploit。黑客成功利用Weblogic反序列化漏洞入侵服務(wù)器后執(zhí)行如圖2所示命令，從托管地址下載攻擊載荷執(zhí)行。不同于大部分黑客使用個人域名作為載荷下載地址，Greystars勒索病毒選擇Gist托管載荷，這么做的優(yōu)勢在于raw.githubusercontent.com對于大部分殺毒軟件和主機入侵防御系統(tǒng)而言是一個合法的域名，選擇其作為載荷下載地址可以有效躲避攔截，不過這也增加黑客身份暴露的風(fēng)險。

　　圖2 黑客入侵服務(wù)器后執(zhí)行的命令

　　　使用“圖片隱寫術(shù)”隱藏惡意代碼

　　第一階段載荷內(nèi)容的主要功能是從hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/web.png下載嵌入惡意代碼的圖片并從圖片中獲取惡意代碼執(zhí)行。web.png是一張?zhí)厥獾膱D片，黑客使用Invoke-PSImage工具將惡意代碼插入其中。Invoke-PSImage是國外安全研究員Barrett Adams開發(fā)的PowerShell圖片隱寫工具，能夠?qū)阂獯a插入圖片每個像素點G和B兩個顏色通道的最后4 bit。圖3展示了Invoke-PSImage的簡單工作原理。

　　圖3 Invoke-PSImage的簡單工作原理

　　由于顏色通道的最后4 bit對最終像素點的顏色呈現(xiàn)并無太大影響，通過Invoke-PSImage嵌入惡意代碼的圖片與原始圖片幾乎沒有差別。黑客將這樣一張“正常”的圖片托管在Gist上也不會引起懷疑。

　　加密計算機中的重要文件并索要贖金

　　第二階段的載荷是完成加密文件與勒索的執(zhí)行體。載荷同樣用PowerShell語言編寫。

　　對于每一臺計算機，Greystars勒索病毒生成一個AES密鑰用于加密文件，并通過內(nèi)置的RSA公鑰加密AES密鑰。該RSA公鑰存儲于以硬編碼方式寫入代碼的證書中，通過.NET X509Certificates類的PublicKey方法獲取。由于PowerShell語言能夠靈活操作.NET方法，Greystars勒索病毒利用這一特點將繁瑣的密鑰生成以及密鑰加密過程用簡潔的PowerShell語言實現(xiàn)。圖4展示了Greystars勒索病毒對AES密鑰進行RSA加密的過程。

　　圖4 Greystars勒索病毒對AES密鑰進行RSA加密的過程

　　Greystars勒索病毒加密計算機中422種文件格式，不僅包括常見的文檔、圖片、數(shù)據(jù)庫文件，也包括一些服務(wù)器運行所需要的腳本文件，包括python腳本、PHP腳本、PowerShell腳本等。加密過程中，Greystars勒索病毒會避開C盤下除了桌面文件夾和文檔文件夾外的其他目錄以保證系統(tǒng)正常運行，并且結(jié)束與數(shù)據(jù)庫相關(guān)的進程保證數(shù)據(jù)庫文件成功加密。由于Greystars勒索病毒采用的是“加密原文件à生成新文件à刪除原文件”的方式，一些只有只讀權(quán)限的目錄會出現(xiàn)被加密的文件不存在但原文件被刪除的情況，這就導(dǎo)致部分服務(wù)器無法通過繳納贖金恢復(fù)文件。圖5展示了Greystars勒索病毒加密的文件格式。

　　圖5 Greystars勒索病毒加密的文件格式

　　所有被加密的文件都會加上后綴“greystars@protonmail.com”，生成的勒索信息要求受害者轉(zhuǎn)賬0.08個比特幣的贖金到指定地址以解密文件。圖6展示了勒索信息。

　　圖6 勒索信息

　　Weblogic服務(wù)端開始受勒索病毒的青睞

　　2017年，Weblogic爆出兩個嚴重的反序列化漏洞CVE-2017-3248和CVE-2017-10271，影響Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.0、12.2.1.1等多個版本，這兩個漏洞也被廣泛用于向服務(wù)器植入挖礦木馬。時至今日，仍有許多服務(wù)器未對WebLogic進行更新。

　　2018年4月，360互聯(lián)網(wǎng)安全中心監(jiān)測到兩個勒索病毒家族Satan和Greystars開始攻擊Weblogic服務(wù)端。如圖7中Satan勒索病毒傳播量趨勢所示，Satan勒索病毒一直保持活躍狀態(tài)，并且影響國內(nèi)超過百臺企業(yè)服務(wù)器。而Greystars勒索病毒雖然只在4月21日爆發(fā)，其依然影響了近百臺企業(yè)服務(wù)器。

　　圖7 Satan勒索病毒四月份的傳播量變化趨勢

　　為何Weblogic服務(wù)端開始受勒索病毒青睞。主要原因有兩點：一是未進行更新的Weblogic服務(wù)端數(shù)量巨大，漏洞利用攻擊難度較低，對于黑客而言攻擊收益與攻擊成本之比非常高;二是這類服務(wù)器系統(tǒng)一般為企業(yè)所有，企業(yè)繳納贖金恢復(fù)文件的可能性相比較用戶而言要高不少。這類遭受攻擊的服務(wù)器一般都是無人看管或者疏于看管的一類機器，挖礦木馬對這類服務(wù)器的攻擊并不能造成太大動靜引起服務(wù)器管理員以及相應(yīng)企業(yè)的注意，而勒索病毒的攻擊可能導(dǎo)致服務(wù)器癱瘓進而影響業(yè)務(wù)運行，這也是勒索病毒被經(jīng)常曝光的原因。

　　　防護建議

　　1. 及時更新Weblogic服務(wù)端到最新版本。

　　2. 安裝安全防護軟件，攔截此類病毒。

　　　　IOC

　　hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/metasploit

　　hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/web.png

特別提醒：本網(wǎng)信息來自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。