Greystars勒索病毒突襲！Weblogic服務(wù)端成為重災(zāi)區(qū)

北京時(shí)間4月21日，匿名黑客利用Weblogic反序列化漏洞向國(guó)內(nèi)部分企業(yè)服務(wù)器投遞Greystars勒索病毒，加密服務(wù)器中的重要文件并索要0.08個(gè)比特幣，贖金當(dāng)前約合人民幣4761元。根據(jù)360互聯(lián)網(wǎng)安全中心的監(jiān)控?cái)?shù)據(jù)，有近百臺(tái)服務(wù)器收到此次攻擊的影響。

使用“無(wú)文件”攻擊方式，攻擊載荷托管在Gist上

Greystars勒索病毒借鑒近年來(lái)十分流行的“無(wú)文件”攻擊方式，所有工作都在Windows合法進(jìn)程Powershell中完成——黑客利用Weblogic反序列化漏洞攻擊服務(wù)器，控制服務(wù)器下載托管在Gist上的第一階段載荷并運(yùn)行，載荷讀取托管在Gist上嵌入惡意內(nèi)容的圖片后解密圖片內(nèi)容獲得第二階段載荷并最終在PowerShell進(jìn)程中執(zhí)行。圖1展示了完整攻擊流程。

第一階段攻擊載荷托管地址為hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/metasploit。黑客成功利用Weblogic反序列化漏洞入侵服務(wù)器后執(zhí)行如圖2所示命令，從托管地址下載攻擊載荷執(zhí)行。不同于大部分黑客使用個(gè)人域名作為載荷下載地址，Greystars勒索病毒選擇Gist托管載荷，這么做的優(yōu)勢(shì)在于raw.githubusercontent.com對(duì)于大部分殺毒軟件和主機(jī)入侵防御系統(tǒng)而言是一個(gè)合法的域名，選擇其作為載荷下載地址可以有效躲避攔截，不過(guò)這也增加黑客身份暴露的風(fēng)險(xiǎn)。

使用“圖片隱寫術(shù)”隱藏惡意代碼

第一階段載荷內(nèi)容的主要功能是從hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/web.png下載嵌入惡意代碼的圖片并從圖片中獲取惡意代碼執(zhí)行。web.png是一張?zhí)厥獾膱D片，黑客使用Invoke-PSImage工具將惡意代碼插入其中。Invoke-PSImage是國(guó)外安全研究員Barrett Adams開(kāi)發(fā)的PowerShell圖片隱寫工具，能夠?qū)阂獯a插入圖片每個(gè)像素點(diǎn)G和B兩個(gè)顏色通道的最后4 bit。圖3展示了Invoke-PSImage的簡(jiǎn)單工作原理。

由于顏色通道的最后4 bit對(duì)最終像素點(diǎn)的顏色呈現(xiàn)并無(wú)太大影響，通過(guò)Invoke-PSImage嵌入惡意代碼的圖片與原始圖片幾乎沒(méi)有差別。黑客將這樣一張“正常”的圖片托管在Gist上也不會(huì)引起懷疑。

加密計(jì)算機(jī)中的重要文件并索要贖金

第二階段的載荷是完成加密文件與勒索的執(zhí)行體。載荷同樣用PowerShell語(yǔ)言編寫。

對(duì)于每一臺(tái)計(jì)算機(jī)，Greystars勒索病毒生成一個(gè)AES密鑰用于加密文件，并通過(guò)內(nèi)置的RSA公鑰加密AES密鑰。該RSA公鑰存儲(chǔ)于以硬編碼方式寫入代碼的證書(shū)中，通過(guò).NET X509Certificates類的PublicKey方法獲取。由于PowerShell語(yǔ)言能夠靈活操作.NET方法，Greystars勒索病毒利用這一特點(diǎn)將繁瑣的密鑰生成以及密鑰加密過(guò)程用簡(jiǎn)潔的PowerShell語(yǔ)言實(shí)現(xiàn)。圖4展示了Greystars勒索病毒對(duì)AES密鑰進(jìn)行RSA加密的過(guò)程。

Greystars勒索病毒加密計(jì)算機(jī)中422種文件格式，不僅包括常見(jiàn)的文檔、圖片、數(shù)據(jù)庫(kù)文件，也包括一些服務(wù)器運(yùn)行所需要的腳本文件，包括python腳本、PHP腳本、PowerShell腳本等。加密過(guò)程中，Greystars勒索病毒會(huì)避開(kāi)C盤下除了桌面文件夾和文檔文件夾外的其他目錄以保證系統(tǒng)正常運(yùn)行，并且結(jié)束與數(shù)據(jù)庫(kù)相關(guān)的進(jìn)程保證數(shù)據(jù)庫(kù)文件成功加密。由于Greystars勒索病毒采用的是“加密原文件à生成新文件à刪除原文件”的方式，一些只有只讀權(quán)限的目錄會(huì)出現(xiàn)被加密的文件不存在但原文件被刪除的情況，這就導(dǎo)致部分服務(wù)器無(wú)法通過(guò)繳納贖金恢復(fù)文件。圖5展示了Greystars勒索病毒加密的文件格式。

所有被加密的文件都會(huì)加上后綴“greystars@protonmail.com”，生成的勒索信息要求受害者轉(zhuǎn)賬0.08個(gè)比特幣的贖金到指定地址以解密文件。圖6展示了勒索信息。

Weblogic服務(wù)端開(kāi)始受勒索病毒的青睞

2017年，Weblogic爆出兩個(gè)嚴(yán)重的反序列化漏洞CVE-2017-3248和CVE-2017-10271，影響Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.0、12.2.1.1等多個(gè)版本，這兩個(gè)漏洞也被廣泛用于向服務(wù)器植入挖礦木馬。時(shí)至今日，仍有許多服務(wù)器未對(duì)WebLogic進(jìn)行更新。

2018年4月，360互聯(lián)網(wǎng)安全中心監(jiān)測(cè)到兩個(gè)勒索病毒家族Satan和Greystars開(kāi)始攻擊Weblogic服務(wù)端。如圖7中Satan勒索病毒傳播量趨勢(shì)所示，Satan勒索病毒一直保持活躍狀態(tài)，并且影響國(guó)內(nèi)超過(guò)百臺(tái)企業(yè)服務(wù)器。而Greystars勒索病毒雖然只在4月21日爆發(fā)，其依然影響了近百臺(tái)企業(yè)服務(wù)器。

為何Weblogic服務(wù)端開(kāi)始受勒索病毒青睞。主要原因有兩點(diǎn)：一是未進(jìn)行更新的Weblogic服務(wù)端數(shù)量巨大，漏洞利用攻擊難度較低，對(duì)于黑客而言攻擊收益與攻擊成本之比非常高;二是這類服務(wù)器系統(tǒng)一般為企業(yè)所有，企業(yè)繳納贖金恢復(fù)文件的可能性相比較用戶而言要高不少。這類遭受攻擊的服務(wù)器一般都是無(wú)人看管或者疏于看管的一類機(jī)器，挖礦木馬對(duì)這類服務(wù)器的攻擊并不能造成太大動(dòng)靜引起服務(wù)器管理員以及相應(yīng)企業(yè)的注意，而勒索病毒的攻擊可能導(dǎo)致服務(wù)器癱瘓進(jìn)而影響業(yè)務(wù)運(yùn)行，這也是勒索病毒被經(jīng)常曝光的原因。

防護(hù)建議

1. 及時(shí)更新Weblogic服務(wù)端到最新版本。

2. 安裝安全防護(hù)軟件，攔截此類病毒。

IOC

hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/metasploit

hxxps://raw.githubusercontent.com/Tree1985/metasploit-framework/master/web.png