好友
阅读权限40
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2022-7-19 15:49 编辑
近日,火绒安全实验室监测结果显示:Bluesky勒索病毒正在活跃。该病毒在3月份首次出现,在6月末开始爆发,其传播数量趋势如下图所示。火绒安全软件可查杀该病毒。
黑客主要通过渗透攻击SQL Server数据库进行投毒传播。SQL Server是微软公司推出的关系型数据库系统,在个人和企业PC上应用广泛,一旦黑客攻陷该数据库,即会对用户产生直接的数据安全威胁。
该勒索病毒会对一些重要文件进行全文件加密,如后缀名为:db 、sql、ckp等数据库文件。其他文件只会加密文件前16MB如:txt、pdf、zip等文件,而Bluesky勒索病毒不仅对受害者电脑中的数据进行加密,还会对局域网中其他终端共享的资源进行加密。被加密后的文件后缀名为:.bluesky,并留下勒索信,勒索信的内容,如下所示:
被勒索后,需要支付0.1比特币(目前大概13325人民币)勒索病毒支付页面如下图所示:
针对各类勒索病毒,火绒安全软件在病毒入侵的各个维度上都做了针对性的预防。在防止网络渗透攻击维度,有网络入侵拦截、Web服务保护、横向渗透防护、暴破攻击防护等模块进行防护;在防止黑客入侵过程维度,有系统加固和应用加固模块进行防护;在防病毒维度,有文件实时监控和恶意行为监控模块进行防护;在防投毒维度,有邮件监控、Web扫描、恶意网址拦截等模块进行防护。
同时,我们也建议用户从以下方面做好自查防护:1.定期更换域控、数据库、服务器上的管理员密码;
2.定期更新病毒库,定时组织内网进行全盘扫描;
3.定期更新补丁,修复漏洞;
4.定期检查防火墙及安全软件的防护日志,及时发现异常并解决;
5.定期备份重要的数据;
6.修改数据库默认端口,防止被扫描器暴破。
详细分析传播途径分析
通过火绒终端威胁情报系统发现,黑客通过对SQL Server数据库进行渗透攻击的方式投放勒索病毒,攻击成功后,下发各种恶意程序并执行Powershell命令来下载、执行勒索模块,相关流程图,如下所示:
由于SQL Server数据库权限限制,黑客通过上传CVE-2021-1732漏洞利用程序提权并执行Powershell相关代码,如下图所示:
利用CVE-2021-1732漏洞提权执行powershell命令
C&C服务器还会下发的后门模块,该恶意模块为CobaltStrike反射型注入后门模块beacon,相关模块数据,如下所示:
CobaltStrike木马可以通过创建cmd进程来执行C&C服务器下发的Powershell命令,相关代码,如下图所示:
加密相关分析加密算法分析
Bluesky勒索病毒使用chacha20算法(对称加密)来对文件数据进行加密,并将密钥通过curve25519椭圆曲线算法(非对称加密)进行加密,保存在被加密的文件中,在没有获取到相应私钥之前无法对文件进行解密。文件加密相关代码,如下图所示:
加密规则
Bluesky勒索病毒会绕开一些系统相关的重要文件避免影响操作系统运行,并会对一些重要文件以及数据库文件进行全文件加密,其他文件只会加密文件前16MB如:txt、pdf、zip等文件,全文件加密的文件名后缀列表,如下图所示:
加密线程
该线程通过传入指定目录,将遍历目录中所有要加密的文件路径,并对文件进行加密,相关代码,如下图所示:
加密本地磁盘
获取本地磁盘路径传递给加密线程来对磁盘进行加密,相关代码,如下图所示:
加密网络驱动器
获取网络驱动器的路径,传递给加密线程来对网络驱动器进行加密,相关代码,如下图所示:
加密局域网中其他终端共享的资源
通过扫描局域网中开放445端口的终端,对目标共享的资源进行加密,相关代码,如下图所示:
获取目标终端的共享资源路径,传递给加密线程来对其进行加密,相关代码,如下图所示:
混淆手段
CobaltStrike木马通过多种壳进行对抗杀软,相关流程图,如下所示:
API混淆,所有API都使用动态获取的方式得到,导致无法通过静态分析得到API名称,相关代码,如下图所示:
字符串混淆,将所有的字符串进行加密,使用时动态解密,相关代码,如下图所示:
附录
病毒HASH
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2022-7-19 15:39
