毒蛇出洞：“Satan”勒索卷土重来

360互联网安全中心监控到，针对Windows服务器的勒索病毒“Satan”在进行一波更新之后卷土重来，于昨日晚些时候开始对大批企业服务器发起攻击。中招计算机中的数据库文件会被加密并加上后缀“dbger”，只有向黑客缴纳1个比特币的赎金才能解密文件。

图1 “Satan”勒索信息

“Satan”勒索病毒是针对Windows服务器的一款勒索病毒，黑客通过JBoss反序列化漏洞CVE-2017-12149、JBoss默认配置漏洞CVE-2010-0738、Weblogic反序列化漏洞CVE-2017-10271、Put任意上传文件漏洞、Tomcat弱口令爆破等服务端漏洞入侵服务器，并通过“永恒之蓝”漏洞攻击武器在企业内网中传播，危害巨大。

根据360互联网安全中心的监控数据，“Satan”勒索病毒传播量在6月份出现暴涨，之后传播量趋于平稳，昨日的更新之后，“Satan”勒索病毒的传播量再次出现暴涨，影响将近千台Windows服务器。

图2 “Satan”勒索传播量变化趋势

“Satan”勒索病毒昨日的更新主要包括两部分：

1. 用Powershell载荷代替之前的exe载荷；

2. 简化攻击流程，漏洞利用成功后直接执行勒索病毒。

黑客成功利用漏洞入侵服务器之后，执行如下图所示的Powershell命令，这段Powershell命令从hxxp://101.99.84.136/cab/dbger.ps1下载另一个Powershell载荷执行。

图3 “Satan“入侵时执行的Powershell命令

hxxp://101.99.84.136/cab/dbger.ps1是一个PE反射注入脚本，能够将“Satan“勒索病毒注入到Powershell进程中执行，执行后计算机中的数据库文件，例如.mdf、.ldf、.myd、.dbf格式的文件将被加密。

在今天早些时候，“Satan“勒索病毒又更新了入侵后执行的命令，更新后的命令将远程服务器上的Powershell脚本保存为C:dbger.ps1执行。

图4 今天早些时候“Santan”更新的命令

在植入勒索病毒的过程中，黑客还会通过certutil.exe从hxxp://101.99.84.136/cab/sts.exe下载另一个载荷保存为c:/dbg.exe执行。该程序是一个漏洞扫描与利用程序，会扫描网络中存在上文提到的漏洞的服务器，并在这些服务器中植入“Satan”勒索病毒。

防护建议

1.“Santan”勒索病毒的所有组件当前是托管在101.99.84.136这个ip地址上的，服务器管理员可以配置防火墙禁止该ip地址的入站出站请求。

2. 由于“Satan”勒索病毒是通过漏洞传播的，服务器管理员需要及时对服务器系统以及系统中运行的服务端程序打补丁，特别是Weblogic、Jboss这类“Satan”勒索重点攻击的对象。此外，Tomcat管理后台应使用强密码防御“Satan”勒索病毒的爆破攻击。

3.“Satan”勒索病毒通过“永恒之蓝”漏洞攻击武器在内网中传播，服务器管理员需要及时为系统打上“永恒之蓝”相关补丁。