攻打医院服务器的SamSam勒索木马分析
攻打医院服务器的SamSam勒索木马分析
近日一款名为SamSam的勒索木马在国外爆发。该木马利用医院系统的服务器漏洞实施入侵,再进行加密勒索钱财。由于医院网络信息安全水平普遍薄弱,SamSam成功感染了国外多家医院,而其他行业也存在相当大的风险。
此前,勒索软件主要以个人电脑和手机用户为攻击目标,SamSam的出现,意味着勒索软件攻击企业服务器,甚至攻击整个企业网络已经成为此类网络犯罪产业新的攻击方向。为此360安全中心QVM团队对SamSam样本进行了深入分析,并提醒广大企业加强网络安全防护,注意及时打补丁修复服务器端的漏洞。
简介:
这是一款.Net平台的勒索程序,有SamSa, Samas, samsam等多个变种,根据shodan的结果,中美可能是受到影响最大的地区。
这里分析的是由Cisco Talos观察到的利用JBoss漏洞传播的主要以医院为目标的样本。尽管国内尚未出现SamSam感染迹象,但根据360网站安全检测平台的扫描结果,国内大量网站存在该漏洞并迟迟不修复,因此也很容易遭到勒索木马的入侵。
样本概况:
勒索软件运行后的提示:
可以对344种类型的文件进行加密,其中覆盖常见的文本文件、网页文件、代码文件、数据库文件:
工作流程:
样本细节:
从资源释放del.exe和selfdel.exe用于后续删除操作,一秒延迟后开始遍历各个驱动器的文件,寻找后缀名为jin,xls,xlsx,pdf,doc等文件(见概况中的支持类型)
删除卷影副本,防止用户恢复
判断找到文件的权限,若有进程占用则会调用taskkill杀掉进程。
判断文件所在磁盘空间是否足够,开始准备加密文件,加密前若发现同目录下有对应的.encrtptedRSA文件则先删掉再加密,加密后还会将提示串(见概况中的相关提示)写入到文件对应路径下的helpfile.txt里:
加密部分
后缀:.encryptedRSA(加密时的临时文件)
后缀:.manifest.xml(未使用)
RSA公钥 Publickey:
<RSAKeyValue><Modulus>iZSePJbXO0X051HqrxFws0kSfVH058n/jZloDWhWLY43W43HlvaJQnIyc76jrQxsDwYoNcs
/uu55B5wTjNoIcpjxMZ8fFVqxuF+PoCEcu4nsT89/ejHYE4eGf5ihvTDsEjOEZkj9ZxbWY2vOzdptgAgk9u
oSrWmQQYDRHnhWD5+mfvNwhcLw4XwSi3EMZ0anXD5DpMCwv6OEsexG2OGAtyGgyG9gYX79yAe
QrfuZ23IfB8wORF/9au8gEG7aXpMXAmJglAmORmJux9y2BjHOMJBdto7CGJI7jj1vKqNiOxYpYYUmtC
4Uw91pvIQV7fWwiDrewssxciwW8bVyZALy3Q==</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>";
生成字节数分别为64,16,16的三个随机数作为signatureKey、key和iv:
先向.encryptedRSA文件头填充大小为0xc00的0,块大小为0x2800,并关闭原始文件相关进程
使用 Rijndael
将之前生成的signatureKey作为sha256的key来算文件的sha256
再讲所有用到的key RSA2048
拼接所有内容写入encrtptedRSA文件头:
待encryptedRSA都准备完毕后删除原来的文件:
总结:
该样本使用RSA 2048来保存加密文件时的key,作者可解析头部"<MtAeSKeYForFile>", sn, "<Key>", str, "</Key>", sn, "<IV>", str2, "</IV>", sn, "<Value>", str3, "</Value>", sn, "<EncryptedKey>", str4, "</EncryptedKey>", sn, "<OriginalFileLength>", info.Length, "</OriginalFileLength>", sn, "</MtAeSKeYForFile>"的串来得到加密后的数据,再使用私钥解密各个字段得到的加密文件时使用到的key,iv等信息,进而还原加密后的文件。
针对SamSam等勒索木马,360安全卫士在不断更新强化防护能力,可以在木马运行前将其拦截,全方位保护用户的数据和财产安全。
攻打医院服务器的SamSam勒索木马分析的更多相关文章
- Petya勒索木马
同事小学妹神好奇心,在陌生群里下载了个软件,接下来就是自动重启无法开机. 找我一看,凭我专业帮妹纸装系统多年的经验,起初也不觉得有啥困难,兼容模式下重启,接下来出现这个: 按下any key后: 试了 ...
- 木马分析出现python语言,360的安全人员不禁感叹还有这种操作?
几年前,敲诈者木马还是一个默默无闻的木马种类.然而,由于其极强的破坏力和直接且丰厚的财富回报,敲诈者木马这几年已经一跃成为曝光率最高的木马类型——甚至超越了盗号木马.远控木马.网购木马这传统三强.与此 ...
- (翻译)FakeKaKao木马分析
这是暑假时看到的一篇病毒分析文章,觉得里面有很多东西值得学习,刚好这几天有空就将它翻译了出来.有不对的地方请大家指正! FakeKaKao木马分析 Virus Bulletin是一个关于流氓软件与垃圾 ...
- nginx高性能WEB服务器系列之八--nginx日志分析与切割
nginx系列友情链接:nginx高性能WEB服务器系列之一简介及安装https://www.cnblogs.com/maxtgood/p/9597596.htmlnginx高性能WEB服务器系列之二 ...
- 服务器负载过高问题分析-不是cpu高负载也不是IO负载如何处理(阿里 几乎是必考题)
关于top命令 经常问load average 参考:load average 定义(网易面试) jvm dump的使用 参考:Jvm dump jstack jmap jstat 介绍与使用(内存与 ...
- 网络安全意识有多重要?SamSam勒索软件敲诈了近600万美元
近年来,对于网络犯罪分子来说,勒索软件已成为数百万美元的黑市业务,SamSam就是一个很好的例子. 中国信息安全新研究显示,自2015年12月以来,SamSam勒索软件从受害者手中敲诈了近600万美元 ...
- locky勒索样本分析
前段时间收到locky样本,分析之后遂做一个分析. 样本如下所示,一般locky勒索的先决条件是一个js的脚本,脚本经过了复杂的混淆,主要用于下载该样本文件并运行,. 解密 样本本身进行了保护,通过i ...
- 记一次Linux服务器上查杀木马经历
开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux ...
- Ztorg木马分析: 从Android root木马演变到短信吸血鬼
本月第二次,Google 从官方应用商店 Google Play 中移除了伪装成合法程序的恶意应用.被移除的应用都属于名叫 Ztorg 的 Android 恶意程序家族.目前为止,发现的几十个新的Zt ...
随机推荐
- BZOJ4541 HNOI2016矿区(平面图转对偶图)
考虑先将平面图转化为对偶图.具体地,将无向边拆成两条有向边.每次考虑找到包围一个区域的所有边.对当前考虑的边,找到该边的反向边在该边终点的出边集中,按极角序排序的后继,这条后继边也是包围该区域的边.这 ...
- Java过滤器Filter的使用详解
过滤器 过滤器是处于客户端与服务器资源文件之间的一道过滤网,在访问资源文件之前,通过一系列的过滤器对请求进行修改.判断等,把不符合规则的请求在中途拦截或修改.也可以对响应进行过滤,拦截或修改响应. 如 ...
- HDU - 4725 (The Shortest Path in Nya Graph)层次网络
题意:有n个点,每个点都在一个层内,层与层之间的距离为c,一个层内的点可以到达与它相邻的前后两个层的点,还有m条小路 ..时间真的是卡的很恶心啊... 借一下别人的思路思路: 这题主要难在建图上,要将 ...
- Hdoj 2187.悼念512汶川大地震遇难同胞——老人是真饿了 题解
时间:2008年5月16日(震后第4天) 地点:汶川县牛脑寨 人物:羌族老奶奶 [转载整理]牛脑寨是一个全村600多人的羌族寨子,震后几天,这里依然能常常听到隆隆的声音,那是对面山上石头不断滑落的声音 ...
- 自学Aruba5.1.1-基于时间的Role定义
点击返回:自学Aruba之路 自学Aruba5.1.1-基于时间的Role定义 可以配置一条rule是基于时间来做限制 具体配置时间(Time ranges)步骤如下: 1 建立一个绝对时间范围,命令 ...
- 【转】IAR IDE for MSP430、8051、ARM等平台的结合使用
IAR IDE for MSP430.8051.ARM等平台的结合使用 以前很长一段时间使用IAR作为MSP430的开发平台,前几天一个无线监控的项目用到了Zigbee(CC2530),于是开始使用I ...
- awk实例
AWK-F 以XX为分割df -lh | grep boot | awk '{print $5}' | awk -F '%' '{print $1}'grep "bash" /et ...
- 前端学习 -- Html&Css -- 背景
background 在一个声明中设置所有的背景属性. background-attachment 设置背景图像是否固定或者随着页面的其余部分滚动. background-color 设置元素的背景颜 ...
- c++11 线程
转自:http://www.justsoftwaresolutions.co.uk/threading/multithreading-in-c++0x-part-3.html 是个just的c++库. ...
- 4月1日->-4月15日 2周阶段性计划
4月1日->4月14日 ST表 树状数组 LCA 一周的时间,力求掌握这三个知识点并各刷五道题左右. 树状数组 ST表 LCA 然而:进展总比计划快(......什么鬼) 树状数组刷了5题,ST ...