别以为Linux系统就不会被勒索 | 韩国一公司因此要准备100万美元赎金


6月10日,韩国网络托管公司NAYANA被Erebus 勒索软件(由趋势科技公司检测为RANSOM_ELFEREBUS.A)攻击,导致旗下 153 台 Linux 服务器与 3400 个商业网站感染 Erebus 勒索软件。

安全专家表示,勒索软件 Erebus 滥用 Event Viewer 提权,允许实现用户账户控制( UAC )绕过,即用户不会收到以较高权限运行程序运行的通知。此外, Erebus 还可将自身复制到任意一个随机命名的文件中修改 Window 注册表,以劫持与 .msc 文件扩展名相关内容。

去年6月12日在NAYANA网站发布的通知中,该公司就表示,攻击者就要求过550比特币的空前赎金,即162万美元,以解密其所有服务器的受影响的文件。在6月14日的网站更新中,我们看到NAYANA协商支付了总共397.6 比特币(根据2017年6月19日的汇率,约101万美元),分期付款。在6月17日的NAYANA网站发布的声明中,三批付款中的第二笔给攻击者汇出。 6月18日,NAYANA开始批量恢复受损服务器的运行。

虽然在赎金数额方面令人震惊,不过专家们的质疑确实,第三批勒索赎金交齐了后,是否能恢复全部的文件。这让人想起堪萨斯医院发生过的事情,,堪萨斯心脏医院(Kansas Heart Hospital)就是为此付出了沉重的代价。他们按要求支付了赎金,换来的却是部分的恢复文件,网络犯罪分子竟要求更多赎金,才能恢复全部文件。。

Erebus于2016年9月首次发布,并于2017年2月重新出现,并采用了绕过UAC的方法。以下是趋势科技研究人员迄今为止发现的关于Erebus Linux版本的一些显着的技术细节:

上图是Erebus的多种语言的赎金单。

上图是攻击者演示视频的屏幕截图,显示了如何解密加密文件。

攻击过程还原

至于Erebus是如何进行攻击的,研究人员只能推断Erebus可能会利用漏洞或本地的Linux漏洞。例如,基于开源智能,NAYANA的网站运行在Linux内核2.6.24.2之上,该版本于2008年被编译。安全漏洞,如DIRTY COW可以为攻击者提供root以访问易受攻击的Linux系统,这只是对一些已经暴露了的威胁的分析。

此外,NAYANA的网站使用Apache版本1.3.36和PHP版本5.1.4,两者都是在2006年发布。Apache漏洞和PHP漏洞是众所周知的,事实上,在中国的网络黑市甚至还有一种工具,用于开发Apache Struts。 Apache NAYANA使用的版本是以nobody(uid = 99)的用户身份运行的,这表示本地攻击也可能在攻击中被使用。

上图就是在VirusTotal上扫描的Erebus

值得注意的是,Erebus在攻击范围方面是有限的,事实上,它们主要集中在韩国。虽然这可能表明这种Erebus攻击是专门针对韩国的,但VirusTotal还显示了另外的攻击分析,从乌克兰和罗马尼亚也发现了Erebus的攻击样本。

加密程序

已知的某些勒索软件家族可以加密算法,如UIWIX,更高版本的Cerber和DMA Locker等等。Erebus也实现了这一点,它加密的每个文件都具有以下格式:

该文件首先用具有随机生成密钥的500kB block中的RC4加密进行加扰,然后使用AES加密算法对RC4密钥进行编码,该加密算法存储在文件中。 AES密钥再次使用存储在文件中的RSA-2048算法进行加密。

虽然每个加密文件都有其RC4和AES密钥,但RSA-2048公钥是共享的。这些RSA-2048密钥是本地生成的,但私钥是使用AES加密和另一个随机生成的密钥加密的。正在进行的分析表明,在没有生产RSA密钥的情况下,解密是不可能的。

目标文件类型

Office文档、数据库、存档和多媒体文件是勒索软件通常针对的文件类型, Erebus也不例外,它加密了433种文件类型。但是,Erebus似乎主要用于定位和加密Web服务器以及存储在其中的数据。

以下这个表显示了Erebus搜索的目录和系统表空间。请注意,var / www /是存储网站的文件或数据的位置,而在MySQL中使用ibdata文件:

随着Unix和类Unix的操作系统(如Linux)的市场份额不断扩大,针对该系统的勒索软件攻击也会越来越多。况且它们还是专门用于工作站和服务器,网络和应用程序开发框架,数据库和移动设备。

正如我们之前对WannaCry,SAMSAM,Petya或HDDCryptor的分析,服务器和网络共享的能力让恶意软件的传播相当迅速。

所以对于企业来说,要牢记:

1.备份关键文件

2.禁用或最小化第三方或未验证的存储库

3.应用最小特权

4.确保更新服务器和端点

5.定期监控网络

6.检查事件日志以检查入侵或感染的迹象

可以考虑的一些安全机制是:

1.IP过滤以及入侵防御和检测系统

2.Linux中的安全扩展,用于管理和限制对文件或系统等网络资源的访问

3.网络分割和数据分类,以减少和减轻感染所造成的损害

4.在Linux中启用特权分离

本文翻译自:Erebus Resurfaces as Linux Ransomware - TrendLabs Security Intelligence Blog ,如若转载,请注明来源于嘶吼: Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元 - 嘶吼 RoarTalk

 

评论

5条评论
  1. Gravatar 头像

    viz 回复

    I cannot thank you enough for the blog post.Really looking forward to read more. Awesome.

  2. Gravatar 头像

    The Red Tea Detox 回复

    I’m not that much of a internet reader to be honest but your sites really nice, keep it up!
    I'll go ahead and bookmark your site to come back in the future.
    Cheers

  3. Gravatar 头像

    تور دبی نوروز 回复

    It's remarkable in favor of me to have a web page, which is helpful in support of my experience.
    thanks admin

发表评论

电子邮件地址不会被公开。 必填项已用*标注