导语:6月10日,韩国网络托管公司NAYANA被Erebus 勒索软件(由趋势科技公司检测为RANSOM_ELFEREBUS.A)攻击,导致旗下 153 台 Linux 服务器与 3400 个商业网站感染 Erebus 勒索软件。
6月10日,韩国网络托管公司NAYANA被Erebus 勒索软件(由趋势科技公司检测为RANSOM_ELFEREBUS.A)攻击,导致旗下 153 台 Linux 服务器与 3400 个商业网站感染 Erebus 勒索软件。
安全专家表示,勒索软件 Erebus 滥用 Event Viewer 提权,允许实现用户账户控制( UAC )绕过,即用户不会收到以较高权限运行程序运行的通知。此外, Erebus 还可将自身复制到任意一个随机命名的文件中修改 Window 注册表,以劫持与 .msc 文件扩展名相关内容。
去年6月12日在NAYANA网站发布的通知中,该公司就表示,攻击者就要求过550比特币的空前赎金,即162万美元,以解密其所有服务器的受影响的文件。在6月14日的网站更新中,我们看到NAYANA协商支付了总共397.6 比特币(根据2017年6月19日的汇率,约101万美元),分期付款。在6月17日的NAYANA网站发布的声明中,三批付款中的第二笔给攻击者汇出。 6月18日,NAYANA开始批量恢复受损服务器的运行。
虽然在赎金数额方面令人震惊,不过专家们的质疑确实,第三批勒索赎金交齐了后,是否能恢复全部的文件。这让人想起堪萨斯医院发生过的事情,,堪萨斯心脏医院(Kansas Heart Hospital)就是为此付出了沉重的代价。他们按要求支付了赎金,换来的却是部分的恢复文件,网络犯罪分子竟要求更多赎金,才能恢复全部文件。。
Erebus于2016年9月首次发布,并于2017年2月重新出现,并采用了绕过UAC的方法。以下是趋势科技研究人员迄今为止发现的关于Erebus Linux版本的一些显着的技术细节:
上图是Erebus的多种语言的赎金单。
上图是攻击者演示视频的屏幕截图,显示了如何解密加密文件。
攻击过程还原
至于Erebus是如何进行攻击的,研究人员只能推断Erebus可能会利用漏洞或本地的Linux漏洞。例如,基于开源智能,NAYANA的网站运行在Linux内核2.6.24.2之上,该版本于2008年被编译。安全漏洞,如DIRTY COW可以为攻击者提供root以访问易受攻击的Linux系统,这只是对一些已经暴露了的威胁的分析。
此外,NAYANA的网站使用Apache版本1.3.36和PHP版本5.1.4,两者都是在2006年发布。Apache漏洞和PHP漏洞是众所周知的,事实上,在中国的网络黑市甚至还有一种工具,用于开发Apache Struts。 Apache NAYANA使用的版本是以nobody(uid = 99)的用户身份运行的,这表示本地攻击也可能在攻击中被使用。
上图就是在VirusTotal上扫描的Erebus
值得注意的是,Erebus在攻击范围方面是有限的,事实上,它们主要集中在韩国。虽然这可能表明这种Erebus攻击是专门针对韩国的,但VirusTotal还显示了另外的攻击分析,从乌克兰和罗马尼亚也发现了Erebus的攻击样本。
加密程序
已知的某些勒索软件家族可以加密算法,如UIWIX,更高版本的Cerber和DMA Locker等等。Erebus也实现了这一点,它加密的每个文件都具有以下格式:
该文件首先用具有随机生成密钥的500kB block中的RC4加密进行加扰,然后使用AES加密算法对RC4密钥进行编码,该加密算法存储在文件中。 AES密钥再次使用存储在文件中的RSA-2048算法进行加密。
虽然每个加密文件都有其RC4和AES密钥,但RSA-2048公钥是共享的。这些RSA-2048密钥是本地生成的,但私钥是使用AES加密和另一个随机生成的密钥加密的。正在进行的分析表明,在没有生产RSA密钥的情况下,解密是不可能的。
目标文件类型
Office文档、数据库、存档和多媒体文件是勒索软件通常针对的文件类型, Erebus也不例外,它加密了433种文件类型。但是,Erebus似乎主要用于定位和加密Web服务器以及存储在其中的数据。
以下这个表显示了Erebus搜索的目录和系统表空间。请注意,var / www /是存储网站的文件或数据的位置,而在MySQL中使用ibdata文件:
随着Unix和类Unix的操作系统(如Linux)的市场份额不断扩大,针对该系统的勒索软件攻击也会越来越多。况且它们还是专门用于工作站和服务器,网络和应用程序开发框架,数据库和移动设备。
正如我们之前对WannaCry,SAMSAM,Petya或HDDCryptor的分析,服务器和网络共享的能力让恶意软件的传播相当迅速。
所以对于企业来说,要牢记:
1.备份关键文件
2.禁用或最小化第三方或未验证的存储库
3.应用最小特权
4.确保更新服务器和端点
5.定期监控网络
6.检查事件日志以检查入侵或感染的迹象
可以考虑的一些安全机制是:
1.IP过滤以及入侵防御和检测系统
2.Linux中的安全扩展,用于管理和限制对文件或系统等网络资源的访问
3.网络分割和数据分类,以减少和减轻感染所造成的损害
4.在Linux中启用特权分离