Posted in 安全

【高危提示】勒索软件Lilocked感染数千台

 2019年9月23日
概    况

近日,美创安全实验室监测到一款名为Lilocked的Linux勒索病毒,该勒索病毒目前为止已感染了数千台linux服务器,加密后缀为.lilocked。根据目前已经掌握的证据,Lilocked的目标似乎都是基于 Linux 的系统,并且很有可能是通过Exim邮件转发软件的最新远程执行漏洞CVE-2019-15846进行传播的。

此外,Lilocked还能够通过某种未知的方式获取服务器的 root 权限。

其实,这个勒索病毒从今年7月中旬就已经出现了,只不过当时“表现平平”,并没有引起大众的关注,但是在近期感染量突增,有爆发感染的趋势,故提醒各政企机构提高警惕。

病毒情况

美创安全实验室第一时间拿到相关病毒样本,经测试分析,发现Lilocked不加密系统文件,只加密文件扩展的一小部分,如HTML,SHTML,JS,CSS,PHP,INI和各种图像文件格式。这意味着受感染的服务器可以继续正常运行。

受此勒索软件攻击的服务器很容易被发现,因为他们的大多数文件都是加密的,并带有一个新的“.lilocked”文件扩展名 ,如下图。

Lilocked与Sodinokibi相似,需要输入key才能跳转到相应的勒索联系界面。在这里,Lilocked团伙显示赎金需求,向受害者询问0.03比特币(约325美元)。

病毒演示

Linux勒索病毒一般会比Windows勒索病毒多一个步骤,就是在开始前会利用漏洞进行提权,提升到root权限之后,Linux恶意软件就能够读写操作任意文件了。包括这次的Lilocked勒索病毒,也使用了未公开的漏洞将自身提升为root权限后再进行加密操作。

下面就使用开源的Linux勒索病毒GonnaCry演示下加密过程。GonnaCry的功能比较简单,使用AES算法加密文件内容,然后修改主机桌面。

经过分析发现,在普通用户权限下,GonnaCry几乎无法完成加密操作,只能加密几个临时文件。而当以root权限运行时,GonnaCry成功加密,主目录下的txt文件都被加密成了GNNCRY后缀的文件。这就是为什么Linux恶意软件都想方设法进行提权的原因。

防护措施

为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,。以下为诺亚防勒索针对这款勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新【如想保护数据库文件可通过添加策略一键保护】。

例如在服务端配置文档保护策略,即刻保护所有客户端下的txt文件。

➢ 无诺亚防勒索防护的情况下:

在test目录下,添加txt的测试文件,若服务器中了勒索病毒,该文件被加密,增加了.GNNCRY的扩展后缀,并且无法正常打开。

➢ 开启诺亚防勒索的情况下:

执行病毒文件,当勒索病毒尝试加密被保护文件,即txt文件时,诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。

而未受保护的doc文件则依然被勒索病毒加密:

➢ 开启堡垒模式的情况下:

为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下:

执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。

在网页服务端上,可查看所有告警以及拦截日志。

美创安全实验室再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:

(1)尽量不要使用root权限运行Web应用程序。

(2)及时打上重要的补丁,防止应用程序被漏洞利用入侵。

(3)root账号增强密码复杂性,避免被爆破。

(4)开启SELinux、AppArmor等功能保护重要文件。

(5)部署终端安全软件进行防护。

相关内容: