Satan勒索软件出现新变种

2019年5月20日,美国的Fortinet(飞塔)公司发布报告称,一种名为“Satan”的勒索软件新变种开始通过新传播工具传播,同时影响Windows和Linux系统设备,一旦感染,会导致用户数据被加密,需支付加密货币解锁文件。攻击者可以通过命令控制服务器指定传播目标。 据Fortinet公司分析,此次发现的恶意软件新变种具有以下技术特点: (1)同时支持Linux和Windows平台,能够通过内部网络和外部网络实现传播; (2)曾利用Apache Struts2远程代码执行漏洞(S2-045和S2-057)已经被删除,原因不明; (3)利用多种漏洞传播该恶意软件,如: JBoss默认配置漏洞(CVE-2010-0738)、 Tomcat任意文件上传漏洞(CVE-2017-12615)、 WebLogic任意文件上传漏洞(CVE-2018-2894)、 WebLogic WLS组件漏洞(CVE-2017-10271)、Windows SMB远程代码执行漏洞(MS17-010)、Spring Data Commons远程代码执行漏洞(CVE-2018-1273)等。恶意软件更新后,利用了3个新漏洞:Spring Data REST补丁请求(CVE-2017-8046)、 ElasticSearch(CVE-2015-1427)、ThinkPHP 5.X远程执行代码(无CVE编号)。 (4)Windows版本的传播工具尝试传播到私有网络中的主机。Linux版本则会避免使用A类私有网络; (5)在Windows版本恶意软件中,使用了永恒之蓝漏洞利用、Mimikatz凭据窃取、SSH暴力破解攻击以及许多用于传播的Web漏洞,Linux版本恶意软件使用了除永恒之蓝漏洞和Mimikatz之外的其他的漏洞; (6)对于Windows设备,如果端口号为445(SMB/CIFS),则执行永恒之蓝漏洞利用。如果端口号为22(SSH),则使用硬编码的用户名和密码列表执行SSH暴力破解。如果均不是,则会尝试执行Web应用程序漏洞; (7)对于Linux设备,不会进行445端口(SMB)的检查,其他端口和漏洞利用的方案与Windows版本大致相同。 Fortinet实验室分析判断,该恶意程序的主要目的是获取经济利益,Satan勒索软件新变种作者身份仍未知 。