关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 360手机官网 | 社区客户端

推荐 论坛 版块 活动 众测 商城
360互联网安全中心监控到,针对Windows服务器的勒索病毒“Satan”在进行一波更新之后卷土重来,于昨日晚些时候开始对大批企业服务器发起攻击。中招计算机中的数据库文件会被加密并加上后缀“dbger”,只有向黑客缴纳1个比特币的赎金才能解密文件。

360社区

360社区

图1 “Satan”勒索信息

“Satan”勒索病毒是针对Windows服务器的一款勒索病毒,黑客通过JBoss反序列化漏洞CVE-2017-12149、JBoss默认配置漏洞CVE-2010-0738、Weblogic反序列化漏洞CVE-2017-10271、Put任意上传文件漏洞、Tomcat弱口令爆破等服务端漏洞入侵服务器,并通过“永恒之蓝”漏洞攻击武器在企业内网中传播,危害巨大。

根据360互联网安全中心的监控数据,“Satan”勒索病毒传播量在6月份出现暴涨,之后传播量趋于平稳,昨日的更新之后,“Satan”勒索病毒的传播量再次出现暴涨,影响将近千台Windows服务器。

360社区

360社区

图2 “Satan”勒索传播量变化趋势

“Satan”勒索病毒昨日的更新主要包括两部分:

1. 用Powershell载荷代替之前的exe载荷;

2. 简化攻击流程,漏洞利用成功后直接执行勒索病毒。

黑客成功利用漏洞入侵服务器之后,执行如下图所示的Powershell命令,这段Powershell命令从hxxp://101.99.84.136/cab/dbger.ps1下载另一个Powershell载荷执行。

360社区

360社区

图3 “Satan“入侵时执行的Powershell命令

hxxp://101.99.84.136/cab/dbger.ps1是一个PE反射注入脚本,能够将“Satan“勒索病毒注入到Powershell进程中执行,执行后计算机中的数据库文件,例如.mdf、.ldf、.myd、.dbf格式的文件将被加密。

在今天早些时候,“Satan“勒索病毒又更新了入侵后执行的命令,更新后的命令将远程服务器上的Powershell脚本保存为C:dbger.ps1执行。

360社区

360社区


图4 今天早些时候“Santan”更新的命令

在植入勒索病毒的过程中,黑客还会通过certutil.exe从hxxp://101.99.84.136/cab/sts.exe下载另一个载荷保存为c:/dbg.exe执行。该程序是一个漏洞扫描与利用程序,会扫描网络中存在上文提到的漏洞的服务器,并在这些服务器中植入“Satan”勒索病毒。

防护建议

1.“Santan”勒索病毒的所有组件当前是托管在101.99.84.136这个ip地址上的,服务器管理员可以配置防火墙禁止该ip地址的入站出站请求。

2. 由于“Satan”勒索病毒是通过漏洞传播的,服务器管理员需要及时对服务器系统以及系统中运行的服务端程序打补丁,特别是Weblogic、Jboss这类“Satan”勒索重点攻击的对象。此外,Tomcat管理后台应使用强密码防御“Satan”勒索病毒的爆破攻击。

3.“Satan”勒索病毒通过“永恒之蓝”漏洞攻击武器在内网中传播,服务器管理员需要及时为系统打上“永恒之蓝”相关补丁。

来源  360安全卫士

共 0 个关于毒蛇出洞:“Satan”勒索卷土重来的回复 最后回复于 2018-7-12 18:25

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:148 关注:12 积分:107710

精华:60 金币:147291 经验:93265

最后登录时间:2018-11-17

私信 加好友

飞机飞行

粉丝:148 关注:12

私信

最新活动

360用户节

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        360社区客户端下载

        快速回复 返回顶部 返回列表