近期,360安全衛士接到大量Linux系統用戶反饋,電腦中的文件被勒索軟體加密,被加密後的文件後綴均為.L0CK3D。經分析,這些用戶感染的均是隸屬於Cerber家族的勒索軟體。本輪攻擊主要是通過Confluence 數據中心和伺服器中的不當授權漏洞進行傳播(漏洞編號為CVE-2023-22518)。受該漏洞影響而遭到攻擊的平台,覆蓋了Linux與Windows等主流伺服器作業系統。而需要特別說明的是,360安全雲和安全衛士可在默認狀態下對「利用該漏洞的攻擊」進行攔截,部署相關產品無需擔心。
CVE-2023-22518漏洞簡述
根據披露,當前Confluence 數據中心和伺服器的所有版本,均受此不當授權漏洞影響。該漏洞允許未經身份驗證的攻擊者重置 Confluence,並創建 Confluence 實例管理員帳戶。利用這個新創建的帳戶,攻擊者可以執行 Confluence 實例管理員可用的所有管理操作,從而導致系統機密性、完整性和可用性的完全喪失。
此漏洞最初於2023年10月31日被公布,而360安全雲監控到,利用該漏洞所展開的在野攻擊,最早出現在2023年11月1日(僅在漏洞被公布的1天後)。
CVE-2023-22518攻擊詳情
根據360安全雲捕獲的攻擊信息顯示,攻擊者會通過該Confluence漏洞調起cmd進程並創建powershell進程來加載攻擊載荷。如下圖所示,此步驟的漏洞觸發操作便會被360安全雲直接攔截。
對上述腳本進行解碼後得到的內容如下:
而根據上述代碼中的下載信息,可獲取到tmp.48腳本,其代碼內容如下:
根據代碼分析,該腳本被執行後首先會定義一個名為Download_Execute的函數來構造一個.NET WebClient對象,並進行一些基本的參數初始化操作。之後,腳本會檢查當前的Confluence伺服器是否應使用指定的代理伺服器。如果需要,腳本將使用該 Web 客戶端下載指定的文件。否則,腳本將使用Internet Explorer組件對象模型 (COM) 來下載腳本。
隨後,腳本便會下載Cerber勒索軟體的主體功能文件,並將其保存到臨時文件夾中,進而命名為svcPrvinit.exe。完成後,附加參數「-b 9」以達到靜默執行該進程而不顯示窗口的目的。
腳本的最後一行調用前文中定義的Download_Execute函數訪問地址:193.176.179.41下載Cerber勒索病毒文件tmp.48.txt。
Cerber勒索軟體簡述
以Windows平台樣本為例,對此次傳播的勒索軟體進行簡要說明。
樣本基本信息:
所屬家族:Cerber
病毒名稱:Win32/Ransom.Generic.HwoCB9cA
文件名:svcPrvinit.exe
MD5:7415347d5ea5f0db29ec95a4a61aba90
勒索修改後綴:L0CK3D
加密算法:
ChaCha20
AES
RC4
勒索信文件:read-me3.txt
勒索方式:多重勒索
勒索網址:
http://j3qxmk6g5sk3zw62i2yhjnwmhm55rfz47fdyfkhaithlpelfjdokdxad.onion/
勒索信內容:
勒索頁面:
勒索軟體功能:
勒索軟體落地後,會首先創建互斥體:hsfjuukjzloqu28oajh727190。
而後會收集即時通信軟體的各類配置信息,並嘗試獲取本地FTP與VNC客戶端軟體的登錄憑據。之後,軟體還會檢查當前系統中是否安裝了壓縮軟體,並嘗試獲取瀏覽器歷史記錄與cookie密碼,以及檢查是否有安裝郵件客戶端。顯然勒索軟體打算以此來儘可能挖掘本地的各類通信數據內容。
一切初始化與檢查工作完成後,勒索軟體便會對本地磁碟和網絡共享中的文件進行加密,並同步向各個主要目錄中釋放勒索信文檔。
一切完成後,軟體還會刪除系統中的磁碟卷影副本,來防止受害用戶對被加密的數據進行回復。最終,勒索軟體會刪除自身來最大化地隱其形跡。
IOCs
-MD5
7415347d5ea5f0db29ec95a4a61aba90
-IP
193.176.179.41
193.43.72.11
45.145.6.112
193.43.72.11
360安全專家提醒
-及時安裝安全補丁,杜絕已知漏洞攻擊
-使用帶有漏洞防護功能的安全產品,攔截利用該漏洞的攻擊
-使用帶有勒索防護功能的終端安全產品,應對各類勒索攻擊
*已經安裝了360安全雲和安全衛士的企業和個人用戶無需擔心,在默認狀態下可對此次攻擊進行有效攔截。