本帖最后由 zhaorong 于 2019-11-25 14:29 编辑
概述
勒索圈有个任性的病毒家族Satan无论比特币价格如何波动 解密要价都是1 BTC 此次 趁着比特币价格回暖 Satan勒索病毒推出了最新的变种
通过勒索提示信息 可以发现该变种实现了更完整的国产化 作者会提示用户通过火币网购买比特币 或者安装lantern在LocalBitcoins上进行购
买通过这些迹象猜测 Satan团伙中可能加入了某些中国黑客。
被加密的文件后缀为[密钥].session。
病毒母体为c.exe文件编译的时间为11月3号。
勒索追踪
病毒运行后通过抓包发现它会与C&C服务器111.90.159.105进行通信上传加密文件信息主机信息病毒运行状态信息。
对该IP进行追踪发现该C&C服务器来自于马来西亚。
谷歌地图定位到这是吉隆坡一个叫Jalan Perdana的地方。
通过以上信息我们判断这个C&C服务器极有可能只是黑客一个拿来中转的肉鸡
黑客真正的藏身地并不在此。
勒索分析
病毒母体c.exe运行后 会先自克隆一份到C盘根目录 然后释放运行勒索病毒cpt.exe密码
窃取工具mmkt.exe 以及blue.exe star.exe等永恒之蓝攻击套件。
这些攻击组件释放在Program Data/和All Users/目录下。
传播过程 首先病毒会使用Mimikatz窃取用户凭据(这里作者编码的mmkt.exe运行出错了所以没有
窃取到凭据) 然后调用WMIC远程下载执行病毒母体实现横向传播勒索病毒。
若上述凭证窃取的方法登陆失败 则利用永恒之蓝 双脉冲星漏洞进行横向传播。
在代码还发现了泛微OA的漏洞利用代码。
添加注册表自启动项Win0Start实现开机自动运行勒索病毒cpt.exe。
结尾
随着大部分企业终端都打上了MS17-010
补丁病毒使用永恒之蓝漏洞进行传播的成功率大大下降但慢慢的病毒都开始采用mimikatz
凭证窃取的方式进行横向移动只要一台病毒感染了一台内网主机就能继续传播到另一台密码相同的主机 所以 建议大家 内网终端
尽量不要设置相同的密码 避免一个终端中毒 导致全网瘫痪。