攻打醫院服務器的SamSam勒索木馬分析

?近日一款名為SamSam的勒索木馬在國外爆發。該木馬利用醫院系統的服務器漏洞實施入侵,再進行加密勒索錢財。由于醫院網絡信息安全水平普遍薄弱,SamSam成功感染了國外多家醫院,而其他行業也存在相當大的風險。?

此前,勒索軟件主要以個人電腦和手機用戶為攻擊目標,SamSam的出現,意味著勒索軟件攻擊企業服務器,甚至攻擊整個企業網絡已經成為此類網絡犯罪產業新的攻擊方向。為此360安全中心QVM團隊對SamSam樣本進行了深入分析,并提醒廣大企業加強網絡安全防護,注意及時打補丁修復服務器端的漏洞。

簡介:

這是一款.Net平臺的勒索程序,有SamSa, Samas, samsam等多個變種,根據shodan的結果,中美可能是受到影響最大的地區。

這里分析的是由Cisco Talos觀察到的利用JBoss漏洞傳播的主要以醫院為目標的樣本。盡管國內尚未出現SamSam感染跡象,但根據360網站安全檢測平臺的掃描結果,國內大量網站存在該漏洞并遲遲不修復,因此也很容易遭到勒索木馬的入侵。

樣本概況:

勒索軟件運行后的提示:

可以對344種類型的文件進行加密,其中覆蓋常見的文本文件、網頁文件、代碼文件、數據庫文件:

工作流程:

樣本細節:

從資源釋放del.exe和selfdel.exe用于后續刪除操作,一秒延遲后開始遍歷各個驅動器的文件,尋找后綴名為jin,xls,xlsx,pdf,doc等文件(見概況中的支持類型)

刪除卷影副本,防止用戶恢復

判斷找到文件的權限,若有進程占用則會調用taskkill殺掉進程。

判斷文件所在磁盤空間是否足夠,開始準備加密文件,加密前若發現同目錄下有對應的.encrtptedRSA文件則先刪掉再加密,加密后還會將提示串(見概況中的相關提示)寫入到文件對應路徑下的helpfile.txt里:

加密部分

后綴:.encryptedRSA(加密時的臨時文件)

后綴:.manifest.xml(未使用)

RSA公鑰 Publickey:

<RSAKeyValue><Modulus>iZSePJbXO0X051HqrxFws0kSfVH058n/jZloDWhWLY43W43HlvaJQnIyc76jrQxsDwYoNcs

/uu55B5wTjNoIcpjxMZ8fFVqxuF+PoCEcu4nsT89/ejHYE4eGf5ihvTDsEjOEZkj9ZxbWY2vOzdptgAgk9u

oSrWmQQYDRHnhWD5+mfvNwhcLw4XwSi3EMZ0anXD5DpMCwv6OEsexG2OGAtyGgyG9gYX79yAe

QrfuZ23IfB8wORF/9au8gEG7aXpMXAmJglAmORmJux9y2BjHOMJBdto7CGJI7jj1vKqNiOxYpYYUmtC

4Uw91pvIQV7fWwiDrewssxciwW8bVyZALy3Q==</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>";

生成字節數分別為64,16,16的三個隨機數作為signatureKey、key和iv:

先向.encryptedRSA文件頭填充大小為0xc00的0,塊大小為0x2800,并關閉原始文件相關進程

使用?Rijndael?

???算法配合之前生成的key和iv,將文件本身的內容加密并寫入對應的.encrtptedRSA文件:

將之前生成的signatureKey作為sha256的key來算文件的sha256

再講所有用到的key RSA2048

拼接所有內容寫入encrtptedRSA文件頭:

待encryptedRSA都準備完畢后刪除原來的文件:

總結:

該樣本使用RSA 2048來保存加密文件時的key,作者可解析頭部"<MtAeSKeYForFile>", sn, "<Key>", str, "</Key>", sn, "<IV>", str2, "</IV>", sn, "<Value>", str3, "</Value>", sn, "<EncryptedKey>", str4, "</EncryptedKey>", sn, "<OriginalFileLength>", info.Length, "</OriginalFileLength>", sn, "</MtAeSKeYForFile>"的串來得到加密后的數據,再使用私鑰解密各個字段得到的加密文件時使用到的key,iv等信息,進而還原加密后的文件。

針對SamSam等勒索木馬,360安全衛士在不斷更新強化防護能力,可以在木馬運行前將其攔截,全方位保護用戶的數據和財產安全。

????

轉載于:https://www.cnblogs.com/xdans/p/5412915.html

總結

以上是生活随笔為你收集整理的攻打医院服务器的SamSam勒索木马分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。