Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文讲的是Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元,6月10日,韩国网络托管公司NAYANA被Erebus 勒索软件(由趋势科技公司检测为RANSOM_ELFEREBUS.A)攻击,导致旗下 153 台 Linux 服务器与 3400 个商业网站感染 Erebus 勒索软件。
本文讲的是 Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元

Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元

6月10日,韩国网络托管公司NAYANA被Erebus 勒索软件(由趋势科技公司检测为RANSOM_ELFEREBUS.A)攻击,导致旗下 153 台 Linux 服务器与 3400 个商业网站感染 Erebus 勒索软件。

安全专家表示,勒索软件 Erebus 滥用 Event Viewer 提权,允许实现用户账户控制( UAC )绕过,即用户不会收到以较高权限运行程序运行的通知。此外, Erebus 还可将自身复制到任意一个随机命名的文件中修改 Window 注册表,以劫持与 .msc 文件扩展名相关内容。

去年6月12日在NAYANA网站发布的通知中,该公司就表示,攻击者就要求过550比特币的空前赎金,即162万美元,以解密其所有服务器的受影响的文件。在6月14日的网站更新中,我们看到NAYANA协商支付了总共397.6 比特币(根据2017年6月19日的汇率,约101万美元),分期付款。在6月17日的NAYANA网站发布的声明中,三批付款中的第二笔给攻击者汇出。 6月18日,NAYANA开始批量恢复受损服务器的运行。

虽然在赎金数额方面令人震惊,不过专家们的质疑确实,第三批勒索赎金交齐了后,是否能恢复全部的文件。这让人想起堪萨斯医院发生过的事情,,堪萨斯心脏医院(Kansas Heart Hospital)就是为此付出了沉重的代价。他们按要求支付了赎金,换来的却是部分的恢复文件,网络犯罪分子竟要求更多赎金,才能恢复全部文件。。

Erebus于2016年9月首次发布,并于2017年2月重新出现,并采用了绕过UAC的方法。以下是趋势科技研究人员迄今为止发现的关于Erebus Linux版本的一些显着的技术细节:

Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元

上图是Erebus的多种语言的赎金单。

Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元

上图是攻击者演示视频的屏幕截图,显示了如何解密加密文件。

攻击过程还原

至于Erebus是如何进行攻击的,研究人员只能推断Erebus可能会利用漏洞或本地的Linux漏洞。例如,基于开源智能,NAYANA的网站运行在Linux内核2.6.24.2之上,该版本于2008年被编译。安全漏洞,如DIRTY COW可以为攻击者提供root以访问易受攻击的Linux系统,这只是对一些已经暴露了的威胁的分析。

此外,NAYANA的网站使用Apache版本1.3.36和PHP版本5.1.4,两者都是在2006年发布。Apache漏洞和PHP漏洞是众所周知的,事实上,在中国的网络黑市甚至还有一种工具,用于开发Apache Struts。 Apache NAYANA使用的版本是以nobody(uid = 99)的用户身份运行的,这表示本地攻击也可能在攻击中被使用。

Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元

上图就是在VirusTotal上扫描的Erebus

值得注意的是,Erebus在攻击范围方面是有限的,事实上,它们主要集中在韩国。虽然这可能表明这种Erebus攻击是专门针对韩国的,但VirusTotal还显示了另外的攻击分析,从乌克兰和罗马尼亚也发现了Erebus的攻击样本。

加密程序

已知的某些勒索软件家族可以加密算法,如UIWIX,更高版本的Cerber和DMA Locker等等。Erebus也实现了这一点,它加密的每个文件都具有以下格式:

Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元

该文件首先用具有随机生成密钥的500kB block中的RC4加密进行加扰,然后使用AES加密算法对RC4密钥进行编码,该加密算法存储在文件中。 AES密钥再次使用存储在文件中的RSA-2048算法进行加密。

虽然每个加密文件都有其RC4和AES密钥,但RSA-2048公钥是共享的。这些RSA-2048密钥是本地生成的,但私钥是使用AES加密和另一个随机生成的密钥加密的。正在进行的分析表明,在没有生产RSA密钥的情况下,解密是不可能的。

目标文件类型

Office文档、数据库、存档和多媒体文件是勒索软件通常针对的文件类型, Erebus也不例外,它加密了433种文件类型。但是,Erebus似乎主要用于定位和加密Web服务器以及存储在其中的数据。

以下这个表显示了Erebus搜索的目录和系统表空间。请注意,var / www /是存储网站的文件或数据的位置,而在MySQL中使用ibdata文件:

Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元

随着Unix和类Unix的操作系统(如Linux)的市场份额不断扩大,针对该系统的勒索软件攻击也会越来越多。况且它们还是专门用于工作站和服务器,网络和应用程序开发框架,数据库和移动设备。

正如我们之前对WannaCry,SAMSAM,Petya或HDDCryptor的分析,服务器和网络共享的能力让恶意软件的传播相当迅速。

所以对于企业来说,要牢记:

1.备份关键文件

2.禁用或最小化第三方或未验证的存储库

3.应用最小特权

4.确保更新服务器和端点

5.定期监控网络

6.检查事件日志以检查入侵或感染的迹象

可以考虑的一些安全机制是:

1.IP过滤以及入侵防御和检测系统

2.Linux中的安全扩展,用于管理和限制对文件或系统等网络资源的访问

3.网络分割和数据分类,以减少和减轻感染所造成的损害

4.在Linux中启用特权分离




原文发布时间为:2017年6月21日
本文作者:xiaohui
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
2月前
|
安全 Ubuntu Linux
Linux系统中的软件管理工具主
Linux系统中的软件管理工具主
52 7
|
2月前
|
Web App开发 监控 Linux
在Linux上,有许多软件可以下载和安装
在Linux上,有许多软件可以下载和安装
122 67
|
2月前
|
存储 关系型数据库 Linux
2024 年 16 个适用于 Linux 的开源云存储软件 (上)
2024 年 16 个适用于 Linux 的开源云存储软件 (上)
97 2
2024 年 16 个适用于 Linux 的开源云存储软件 (上)
|
2月前
|
存储 安全 Unix
2024 年 16 个适用于 Linux 的开源云存储软件 (下)
2024 年 16 个适用于 Linux 的开源云存储软件 (下)
47 0
2024 年 16 个适用于 Linux 的开源云存储软件 (下)
|
1月前
|
Linux
Linux - 如何编译源码安装软件
源码编译安装通常包括三个步骤:1) `./configure` 检测平台特征和依赖项,生成 Makefile;2) `make` 编译源码,生成可执行文件;3) `make install` 将可执行文件安装到指定目录并配置环境变量。
47 0
|
4月前
|
Web App开发 安全 Ubuntu
在Linux中,如何安装新软件?
在Linux中,如何安装新软件?
|
4月前
|
存储 缓存 安全
在Linux中,什么是软件仓库,并且如何管理它?
在Linux中,什么是软件仓库,并且如何管理它?
|
4月前
|
安全 Ubuntu Linux
在Linux中,如何卸载软件?
在Linux中,如何卸载软件?
|
4月前
|
缓存 安全 Linux
本地YUM源大揭秘:搭建您自己的Linux软件宝库,从此告别网络依赖!一文掌握服务器自给自足的终极技能!
【8月更文挑战第13天】在Linux中,YUM是一款强大的软件包管理工具,可自动处理依赖关系。为适应离线或特定安全需求,本指南教你搭建本地YUM源。首先创建存放软件包的`localrepo`目录,复制`.rpm`文件至其中。接着,安装并运用`createrepo`生成仓库元数据。随后配置新的`.repo`文件指向该目录,并禁用GPG检查。最后,清理并重建YUM缓存,即可启用本地YUM源进行软件搜索与安装,适用于网络受限环境。
285 3
|
3月前
|
Linux 网络虚拟化 Windows
ccproxy windows上用的代理软件(类似linux系统上的squid)
ccproxy windows上用的代理软件(类似linux系统上的squid)