首页 > 安全资讯 > 正文

黑客春节不休假,新型勒索病毒alanwalker正发起攻击

360安全大脑监测发现,一个新型勒索病毒正在攻击Weblogic、Jboss、Tomcat等Web应用,在成功通过Web应用入侵Windows服务器后,利用PowerShell执行勒索病毒,加密机器上的重要文件并索要0.2比特币赎金。该勒索病毒之前未出现在其它厂商的报告中,我们根据其加密后缀名称将其命名为alanwalker勒索病毒。

黑客春节不休假,新型勒索病毒alanwalker正发起攻击

图1 alanwalker勒索病毒勒索信息

黑客春节不休假,新型勒索病毒alanwalker正发起攻击

图2 被alanwalker勒索病毒加密的文件概览

alanwalker勒索病毒入侵服务器之后,通过PowerShell执行远程载荷,全程无文件落地,这在目前勒索病毒中较为少见。alanwalker入侵服务器后执行的命令如下图所示。

黑客春节不休假,新型勒索病毒alanwalker正发起攻击

图3 alanwalker入侵服务器后执行的命令

该PowerShell命令执行后会从hxxp://112.175.29.43/e.png下载勒索病毒本地载入到PowerShell内存中执行。勒索病毒使用AES-256加密服务器中的重要文件后使用硬编码在PowerShell载荷中的RSA公钥加密AES密钥。下图是文件加密部分的代码截图。

黑客春节不休假,新型勒索病毒alanwalker正发起攻击

图4 alanwalker勒索病毒加密文件部分的代码截图

alanwalker勒索病毒加密超过420种文件类型,主要为在Windows服务器中较为重要的数据库文件、压缩包、文档和可执行文件等。加密文件类型如下图所示。

黑客春节不休假,新型勒索病毒alanwalker正发起攻击

图5 alanwalker勒索病毒加密的文件类型

加密完成后,alanwalker勒索病毒还会使用"永恒之蓝"漏洞攻击武器攻击局域网中的其他机器,试图将勒索病毒植入局域网中其他机器内。

黑客春节不休假,新型勒索病毒alanwalker正发起攻击

图6 alanwalker勒索病毒使用"永恒之蓝"漏洞攻击武器部分代码

经过分析,alanwalker勒索病毒的主体代码、加密文件类型、勒索信息与360安全大脑2018年4月发现的Greystars勒索病毒极其相似。alanwalker勒索病毒可能为Greystars的变种,也可能两者使用了同一开发者所开发的勒索病毒。关于Greystars勒索病毒可以参考我们之前的报告:http://amxpjdc.shenbo8885.com/newslist/dnaq/GreystarslsbdtxWeblogicfwdcwzzq.html。

值得一提的是,alanwalker勒索病毒在1月30日传播时曾经使用github仓库存储PowerShell载荷,不过载荷地址在第一时间已经失效。alanwalker勒索病毒存储载荷的方式与Greystars勒索病毒相同,而通过github等代码仓库存储恶意载荷的情况也屡见不鲜,并且在未来将可能成为一种主流趋势。

使用360安全卫士的用户无需担心,360安全卫士能够有效拦截alanwalker勒索病毒的攻击。此外,服务器管理员还应当及时修补操作系统、Web应用漏洞,使用强度高的系统登录密码和Web应用后台登录密码,防止被勒索病毒重复攻击。

黑客春节不休假,新型勒索病毒alanwalker正发起攻击


IOCs

hxxp://112.175.29.43/e.png

hxxp://112.175.29.43/s.png

hxxps://raw.githubusercontent.com/alanwalkergod/impacket/master/tests/e.png


360安全卫士

热点排行

用户
反馈
返回
顶部
网站地图 太阳城手机版 菲律宾申博开户 申博太阳城直营网 申博太阳城注册
菲律宾申博怎么充值登入 申博代理官网登入 申博开户登入 申博娱乐网
极速百家乐 捕鱼游戏 申博直营网 申博游戏登入
申博 申博现金网址 太阳城app下载 申博代理开户
菲律宾太阳城申博 澳门银河赌场 申博138开户 申博官方网址