Erebus以Linux勒索軟體的方式重出江湖,勒索韓國公司100萬美元
6月10日,韓國網路託管公司NAYANA被Erebus 勒索軟體(由趨勢科技公司檢測為RANSOM_ELFEREBUS.A)攻擊,導致旗下 153 台 Linux 伺服器與 3400 個商業網站感染 Erebus 勒索軟體。
安全專家表示,勒索軟體 Erebus 濫用 Event Viewer 提權,允許實現用戶賬戶控制( UAC )繞過,即用戶不會收到以較高許可權運行程序運行的通知。此外, Erebus 還可將自身複製到任意一個隨機命名的文件中修改 Window 註冊表,以劫持與 .msc 文件擴展名相關內容。
去年6月12日在NAYANA網站發布的通知中,該公司就表示,攻擊者就要求過550比特幣的空前贖金,即162萬美元,以解密其所有伺服器的受影響的文件。在6月14日的網站更新中,我們看到NAYANA協商支付了總共397.6 比特幣(根據2017年6月19日的匯率,約101萬美元),分期付款。在6月17日的NAYANA網站發布的聲明中,三批付款中的第二筆給攻擊者匯出。 6月18日,NAYANA開始批量恢復受損伺服器的運行。
雖然在贖金數額方面令人震驚,不過專家們的質疑確實,第三批勒索贖金交齊了後,是否能恢復全部的文件。這讓人想起堪薩斯醫院發生過的事情,,堪薩斯心臟醫院(Kansas Heart Hospital)就是為此付出了沉重的代價。他們按要求支付了贖金,換來的卻是部分的恢復文件,網路犯罪分子竟要求更多贖金,才能恢復全部文件。。
Erebus於2016年9月首次發布,並於2017年2月重新出現,並採用了繞過UAC的方法。以下是趨勢科技研究人員迄今為止發現的關於Erebus Linux版本的一些顯著的技術細節:
上圖是Erebus的多種語言的贖金單。
上圖是攻擊者演示視頻的屏幕截圖,顯示了如何解密加密文件。
攻擊過程還原
至於Erebus是如何進行攻擊的,研究人員只能推斷Erebus可能會利用漏洞或本地的Linux漏洞。例如,基於開源智能,NAYANA的網站運行在Linux內核2.6.24.2之上,該版本於2008年被編譯。安全漏洞,如DIRTY COW可以為攻擊者提供root以訪問易受攻擊的Linux系統,這只是對一些已經暴露了的威脅的分析。
此外,NAYANA的網站使用Apache版本1.3.36和PHP版本5.1.4,兩者都是在2006年發布。Apache漏洞和PHP漏洞是眾所周知的,事實上,在中國的網路黑市甚至還有一種工具,用於開發Apache Struts。 Apache NAYANA使用的版本是以nobody(uid = 99)的用戶身份運行的,這表示本地攻擊也可能在攻擊中被使用。
上圖就是在VirusTotal上掃描的Erebus
值得注意的是,Erebus在攻擊範圍方面是有限的,事實上,它們主要集中在韓國。雖然這可能表明這種Erebus攻擊是專門針對韓國的,但VirusTotal還顯示了另外的攻擊分析,從烏克蘭和羅馬尼亞也發現了Erebus的攻擊樣本。
加密程序
已知的某些勒索軟體家族可以加密演算法,如UIWIX,更高版本的Cerber和DMA Locker等等。Erebus也實現了這一點,它加密的每個文件都具有以下格式:
該文件首先用具有隨機生成密鑰的500kB block中的RC4加密進行加擾,然後使用AES加密演算法對RC4密鑰進行編碼,該加密演算法存儲在文件中。 AES密鑰再次使用存儲在文件中的RSA-2048演算法進行加密。
雖然每個加密文件都有其RC4和AES密鑰,但RSA-2048公鑰是共享的。這些RSA-2048密鑰是本地生成的,但私鑰是使用AES加密和另一個隨機生成的密鑰加密的。正在進行的分析表明,在沒有生產RSA密鑰的情況下,解密是不可能的。
目標文件類型
Office文檔、資料庫、存檔和多媒體文件是勒索軟體通常針對的文件類型, Erebus也不例外,它加密了433種文件類型。但是,Erebus似乎主要用於定位和加密Web伺服器以及存儲在其中的數據。
以下這個表顯示了Erebus搜索的目錄和系統表空間。請注意,var / www /是存儲網站的文件或數據的位置,而在MySQL中使用ibdata文件:
隨著Unix和類Unix的操作系統(如Linux)的市場份額不斷擴大,針對該系統的勒索軟體攻擊也會越來越多。況且它們還是專門用於工作站和伺服器,網路和應用程序開發框架,資料庫和移動設備。
正如我們之前對WannaCry,SAMSAM,Petya或HDDCryptor的分析,伺服器和網路共享的能力讓惡意軟體的傳播相當迅速。
所以對於企業來說,要牢記:
1.備份關鍵文件
2.禁用或最小化第三方或未驗證的存儲庫
3.應用最小特權
4.確保更新伺服器和端點
5.定期監控網路
6.檢查事件日誌以檢查入侵或感染的跡象
可以考慮的一些安全機制是:
1.IP過濾以及入侵防禦和檢測系統
2.Linux中的安全擴展,用於管理和限制對文件或系統等網路資源的訪問
3.網路分割和數據分類,以減少和減輕感染所造成的損害
4.在Linux中啟用特權分離
點擊展開全文
※基於USB armory 製作一個USB惡意軟體分析器
※英國軍工巨頭BAE將大規模尖端監控軟體Evident售往中東
※惠普印表機爆遠程命令執行漏洞,黑客可任意操縱你的印表機
※強大的內網域滲透提權分析工具——BloodHound
TAG:嘶吼RoarTalk |
※NIKE Air Max 1/97 重出江湖?React 87喜提XYLAR Studio獨家設計!
※「憤怒的公牛」即將重出江湖!Air Jordan 12 「Bulls」定檔2018!
※Virgil Abloh x Nike Air Force 1 為藝術「重出江湖」
※被禁黑紅配色重出江湖,Air Jordan 1 High OG「Defiant」抽籤發售。
※國行全新iPhone 3GS/4重出江湖 售價能買2台蘋果X
※街頭霸王重出江湖!X-LARGE x 《Street Fighter》熱血來襲!
※售價1.8萬;古董IPhone重出江湖
※狼王加內特戰靴重出江湖-AD TS Commander KG
※Windows phone重出江湖?surface領銜
※Saint Laurent的女人72歲重出江湖,La Mer出冰淇淋,這年頭大家都拼了!【芭九不離時髦】
※一代神機重出江湖 iPhone 3GS全新版開賣 僅260元
※Saint Laurent的女人72歲重出江湖,La Mer出冰淇淋,這年頭大家都拼了!芭九不離時髦
※蘋果知名分析師重出江湖 郭明錤:新版iPhone X最低僅需600美元
※Lady Gaga重出江湖,10cm的睫毛、閃亮大眼驚艷眾人
※諾基亞的情懷買賣:4G版的N-Gage與E72重出江湖
※「TFBOYS」「分享」181016 鄔童重出江湖,酷帥boy惹人愛
※oppo、vivo同日宣布旗艦,find重出江湖,要用後置三攝
※維多利亞的秘密「Pink系列」重出江湖,Hedi發出Celine宣傳照
※Mate20重磅功能泄露,雙卡雙4G雙VoLTE重出江湖!
※全新S3重出江湖,ThinkPad S3 助你鋒芒畢露