攻打醫(yī)院服務(wù)器的SamSam勒索木馬分析

?近日一款名為SamSam的勒索木馬在國(guó)外爆發(fā)。該木馬利用醫(yī)院系統(tǒng)的服務(wù)器漏洞實(shí)施入侵,再進(jìn)行加密勒索錢(qián)財(cái)。由于醫(yī)院網(wǎng)絡(luò)信息安全水平普遍薄弱,SamSam成功感染了國(guó)外多家醫(yī)院,而其他行業(yè)也存在相當(dāng)大的風(fēng)險(xiǎn)。?

此前,勒索軟件主要以個(gè)人電腦和手機(jī)用戶(hù)為攻擊目標(biāo),SamSam的出現(xiàn),意味著勒索軟件攻擊企業(yè)服務(wù)器,甚至攻擊整個(gè)企業(yè)網(wǎng)絡(luò)已經(jīng)成為此類(lèi)網(wǎng)絡(luò)犯罪產(chǎn)業(yè)新的攻擊方向。為此360安全中心QVM團(tuán)隊(duì)對(duì)SamSam樣本進(jìn)行了深入分析,并提醒廣大企業(yè)加強(qiáng)網(wǎng)絡(luò)安全防護(hù),注意及時(shí)打補(bǔ)丁修復(fù)服務(wù)器端的漏洞。

簡(jiǎn)介:

這是一款.Net平臺(tái)的勒索程序,有SamSa, Samas, samsam等多個(gè)變種,根據(jù)shodan的結(jié)果,中美可能是受到影響最大的地區(qū)。

這里分析的是由Cisco Talos觀察到的利用JBoss漏洞傳播的主要以醫(yī)院為目標(biāo)的樣本。盡管?chē)?guó)內(nèi)尚未出現(xiàn)SamSam感染跡象,但根據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)的掃描結(jié)果,國(guó)內(nèi)大量網(wǎng)站存在該漏洞并遲遲不修復(fù),因此也很容易遭到勒索木馬的入侵。

樣本概況:

勒索軟件運(yùn)行后的提示:

可以對(duì)344種類(lèi)型的文件進(jìn)行加密,其中覆蓋常見(jiàn)的文本文件、網(wǎng)頁(yè)文件、代碼文件、數(shù)據(jù)庫(kù)文件:

工作流程:

樣本細(xì)節(jié):

從資源釋放del.exe和selfdel.exe用于后續(xù)刪除操作,一秒延遲后開(kāi)始遍歷各個(gè)驅(qū)動(dòng)器的文件,尋找后綴名為jin,xls,xlsx,pdf,doc等文件(見(jiàn)概況中的支持類(lèi)型)

刪除卷影副本,防止用戶(hù)恢復(fù)

判斷找到文件的權(quán)限,若有進(jìn)程占用則會(huì)調(diào)用taskkill殺掉進(jìn)程。

判斷文件所在磁盤(pán)空間是否足夠,開(kāi)始準(zhǔn)備加密文件,加密前若發(fā)現(xiàn)同目錄下有對(duì)應(yīng)的.encrtptedRSA文件則先刪掉再加密,加密后還會(huì)將提示串(見(jiàn)概況中的相關(guān)提示)寫(xiě)入到文件對(duì)應(yīng)路徑下的helpfile.txt里:

加密部分

后綴:.encryptedRSA(加密時(shí)的臨時(shí)文件)

后綴:.manifest.xml(未使用)

RSA公鑰 Publickey:

<RSAKeyValue><Modulus>iZSePJbXO0X051HqrxFws0kSfVH058n/jZloDWhWLY43W43HlvaJQnIyc76jrQxsDwYoNcs

/uu55B5wTjNoIcpjxMZ8fFVqxuF+PoCEcu4nsT89/ejHYE4eGf5ihvTDsEjOEZkj9ZxbWY2vOzdptgAgk9u

oSrWmQQYDRHnhWD5+mfvNwhcLw4XwSi3EMZ0anXD5DpMCwv6OEsexG2OGAtyGgyG9gYX79yAe

QrfuZ23IfB8wORF/9au8gEG7aXpMXAmJglAmORmJux9y2BjHOMJBdto7CGJI7jj1vKqNiOxYpYYUmtC

4Uw91pvIQV7fWwiDrewssxciwW8bVyZALy3Q==</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>";

生成字節(jié)數(shù)分別為64,16,16的三個(gè)隨機(jī)數(shù)作為signatureKey、key和iv:

先向.encryptedRSA文件頭填充大小為0xc00的0,塊大小為0x2800,并關(guān)閉原始文件相關(guān)進(jìn)程

使用?Rijndael?

???算法配合之前生成的key和iv,將文件本身的內(nèi)容加密并寫(xiě)入對(duì)應(yīng)的.encrtptedRSA文件:

將之前生成的signatureKey作為sha256的key來(lái)算文件的sha256

再講所有用到的key RSA2048

拼接所有內(nèi)容寫(xiě)入encrtptedRSA文件頭:

待encryptedRSA都準(zhǔn)備完畢后刪除原來(lái)的文件:

總結(jié):

該樣本使用RSA 2048來(lái)保存加密文件時(shí)的key,作者可解析頭部"<MtAeSKeYForFile>", sn, "<Key>", str, "</Key>", sn, "<IV>", str2, "</IV>", sn, "<Value>", str3, "</Value>", sn, "<EncryptedKey>", str4, "</EncryptedKey>", sn, "<OriginalFileLength>", info.Length, "</OriginalFileLength>", sn, "</MtAeSKeYForFile>"的串來(lái)得到加密后的數(shù)據(jù),再使用私鑰解密各個(gè)字段得到的加密文件時(shí)使用到的key,iv等信息,進(jìn)而還原加密后的文件。

針對(duì)SamSam等勒索木馬,360安全衛(wèi)士在不斷更新強(qiáng)化防護(hù)能力,可以在木馬運(yùn)行前將其攔截,全方位保護(hù)用戶(hù)的數(shù)據(jù)和財(cái)產(chǎn)安全。

????

轉(zhuǎn)載于:https://www.cnblogs.com/xdans/p/5412915.html

總結(jié)

以上是生活随笔為你收集整理的攻打医院服务器的SamSam勒索木马分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。