黑客春节不休假，新型勒索病毒alanwalker正发起攻击

2019-02-01 19:17:17
我要分享


微信扫码分享

360安全大脑监测发现，一个新型勒索病毒正在攻击Weblogic、Jboss、Tomcat等Web应用，在成功通过Web应用入侵Windows服务器后，利用PowerShell执行勒索病毒，加密机器上的重要文件并索要0.2比特币赎金。该勒索病毒之前未出现在其它厂商的报告中，我们根据其加密后缀名称将其命名为alanwalker勒索病毒。

图1 alanwalker勒索病毒勒索信息

黑客春节不休假，新型勒索病毒alanwalker正发起攻击

图2 被alanwalker勒索病毒加密的文件概览

alanwalker勒索病毒入侵服务器之后，通过PowerShell执行远程载荷，全程无文件落地，这在目前勒索病毒中较为少见。alanwalker入侵服务器后执行的命令如下图所示。

黑客春节不休假，新型勒索病毒alanwalker正发起攻击

图3 alanwalker入侵服务器后执行的命令

该PowerShell命令执行后会从hxxp://112.175.29.43/e.png下载勒索病毒本地载入到PowerShell内存中执行。勒索病毒使用AES-256加密服务器中的重要文件后使用硬编码在PowerShell载荷中的RSA公钥加密AES密钥。下图是文件加密部分的代码截图。

黑客春节不休假，新型勒索病毒alanwalker正发起攻击

图4 alanwalker勒索病毒加密文件部分的代码截图

alanwalker勒索病毒加密超过420种文件类型，主要为在Windows服务器中较为重要的数据库文件、压缩包、文档和可执行文件等。加密文件类型如下图所示。

黑客春节不休假，新型勒索病毒alanwalker正发起攻击

图5 alanwalker勒索病毒加密的文件类型

加密完成后，alanwalker勒索病毒还会使用"永恒之蓝"漏洞攻击武器攻击局域网中的其他机器，试图将勒索病毒植入局域网中其他机器内。

黑客春节不休假，新型勒索病毒alanwalker正发起攻击

图6 alanwalker勒索病毒使用"永恒之蓝"漏洞攻击武器部分代码

经过分析，alanwalker勒索病毒的主体代码、加密文件类型、勒索信息与360安全大脑2018年4月发现的Greystars勒索病毒极其相似。alanwalker勒索病毒可能为Greystars的变种，也可能两者使用了同一开发者所开发的勒索病毒。关于Greystars勒索病毒可以参考我们之前的报告：http://www.360.cn/newslist/dnaq/GreystarslsbdtxWeblogicfwdcwzzq.html。

值得一提的是，alanwalker勒索病毒在1月30日传播时曾经使用github仓库存储PowerShell载荷，不过载荷地址在第一时间已经失效。alanwalker勒索病毒存储载荷的方式与Greystars勒索病毒相同，而通过github等代码仓库存储恶意载荷的情况也屡见不鲜，并且在未来将可能成为一种主流趋势。

使用360安全卫士的用户无需担心，360安全卫士能够有效拦截alanwalker勒索病毒的攻击。此外，服务器管理员还应当及时修补操作系统、Web应用漏洞，使用强度高的系统登录密码和Web应用后台登录密码，防止被勒索病毒重复攻击。

黑客春节不休假，新型勒索病毒alanwalker正发起攻击

IOCs

hxxp://112.175.29.43/e.png

hxxp://112.175.29.43/s.png

hxxps://raw.githubusercontent.com/alanwalkergod/impacket/master/tests/e.png

热点排行

黑客春节不休假，新型勒索病毒alanwalker正发起攻击

热点排行

关注我们