“以身试毒”之REvil/Sodinokibi勒索病毒分析

近些年来，勒索病毒事件频频发生，对企业和用户造成了巨大危害。勒索病毒是一种主要以邮件、程序木马、网页挂马的形式进行传播的新型电脑病毒。这种病毒入侵系统后利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

勒索病毒通过高危漏洞/弱口令等方式获取系统权限，一旦运行会连接攻击者的服务器下载加密公钥，并写入注册表中，遍历本机所有例如word等文件，并对这些文件进行加密篡改；加密完成后，生成勒索提示文件，并要求用户付费解密文件。

近期，盛邦安全研究员“以身试毒”，对Sodinokibi勒索病毒进行了一次安全研究。Sodinokibi勒索病毒，国内首次发现于2019年4月，5月在意大利被发现以RDP攻击的方式进行传播感染，与之前发生的GandCrab勒索病毒有一定程度的相似性。

这种病毒常见的传播方式有以下几种：

Oracle Weblogic Server漏洞：由于Oracle WebLogic Server存在一个反序列化漏洞（CVE-2019-2725），攻击者可利用此漏洞获得对服务器的完全访问权限，植入Sodinokibi勒索病毒并运行；

Flash UAF漏洞：由于Flash 存在UAF漏洞（CVE-2018-4878），可远程命令执行下载Sodinokibi勒索病毒并运行；

RDP攻击：攻击者对开启3389端口的主机进行RDP暴力破解，成功破解可传送Sodinokibi勒索病毒文件；

钓鱼邮件：利用伪命题邮件及附件传递Sodinokibi勒索病毒，并诱导用户下载运行；

水坑攻击：攻击者分析目标的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击；

漏洞利用工具包和恶意广告下载：利用漏洞或伪装成广告使Sodinokibi勒索病毒可被下载并执行。

WebRAY安全研究人员在Windows 10环境下对病毒样本进行了分析。首先，运行Sodinokibi勒索病毒样本，随后生成{随机字符}-readme.txt文件；用户需按照此txt文件中要求进行操作，交付对应赎金，才能解除文件加密（执行无需对应权限）。

勒索提示信中提到两种解密方式：

1）使用Tor浏览器对指定网站进行访问，缴纳赎金；

2）使用VPN访问指定网址，缴纳赎金。

下图为缴纳赎金的页面：

程序运行后，桌面背景变蓝，并显示文件已被加密字样：

文件的加密使用 RSA+salsa20 加密算法，以下为被加密文件：

Sodinokibi勒索病毒运行后，在内存中解密出json格式的配置信息：

json配置文件格式如下：

{

              "pk": "",           //公钥

              "pid": "",          //标识号

              "sub": "",          //标识号

              "dbg": ,                   //Debug:ture/false

              "fast": ,                //ture/false

              "wipe": ,              //ture/false

              "wht": {

                     "fld": [""],    //过滤目录

                     "fls": [""], //过滤文件

                     "ext": [""]       //过滤后缀名

              },

              "wfld": [""],

              "prc": [],                 //结束进程

              "dmn": "",                    //C2域名

              "net": ,                    //ture/false

              "svc":,                     //结束服务

              "nbody": "",         //加密勒索文本

              "nname": "",        //{EXT}-readme.txt

              "exp": ,                    //Exploit:ture/false

              "img": "",               //桌面壁纸

              "arn":

       }

这款病毒目前还没有公开的解密工具，在此我们提醒各位企业及个人用户，一定要做好相应的防范措施，我们的防范建议如下：

1.   对重要数据进行非本地备份；

2.   开启防火墙并安装防毒软件；

3.   谨防不明邮件，不点击不明邮件及附件；

4.   关闭不必要端口，如：445、135、139、3389等；

5.   尽量不使用局域网共享；

6.   及时修补Weblogic、Apache Struts2等服务组件漏洞。

盛邦安全勒索病毒检测及防御解决方案（“哨兵”解决方案）

盛邦安全“哨兵”解决方案采用“RayEYE” + “EDR” +“安全服务”的体系架构 ，形成一套完整的勒索病毒检测及防御解决方案，帮助用户全面监测网络环境中的流量，并基于流量分析网络环境中存在的问题，同时加入EDR对终端主机进行防护，满足客户个性化需求。不同的业务系统采用不同的防御策略，利用自动化安全运维系统降低操作复杂度，建立7*24小时的安全监控体系，并可以随时以邮件/短信等多种形式获知安全状态。

从流量监控、文件沙箱检测到终端防护，盛邦安全为客户提供从“端”到“面”，从事先监测、事中对抗到事后溯源的全面勒索病毒检测及防御解决方案与服务，有效解决勒索病毒、APT攻击等安全威胁问题。

相关阅读：

烽火三十六技丨盛邦安全医疗行业勒索病毒检测及防御解决方案