2018年5月16日服务器遭遇新型比特币勒索病毒日志(黑客利用了CredSSP 远程执行代码漏洞)

事件起因


2018年5月16日,今天早上有人反馈电视看不了,我登录了电视的其中一台服务器,不得了了,桌面上弹出了大框!上面写:你的所有文件都被加密了……

这下惨了,服务器得重装系统打漏洞,很多代码没有备份,要重写……幸好这台服务器没有存放太多重要数据,损失不是很惨。我担心的是提供商的其他服务器,估计很惨……

 

病毒分析:


之前我向大家展示了利用CredSSP 远程执行代码漏洞攻击他人的服务器,详情点击:

远程桌面出现身份验证错误,要求的函数不正确,这可能是由于CredSSP加密Oracle修正……

而如今却轮到我了……这是报应么?

 

原文


All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected]

Write this ID in the title of your message 18FD72D5

In case of no answer in 24 hours write us to theese e-mails:[email protected]

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Free decryption as guarantee

Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price.
……

Also you can find other places to buy Bitcoins and beginners guide here:

……

Attention!

 

  • Do not rename encrypted files.
  • Do not try to decrypt your data using third party software, it may cause permanent data loss.
  • Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

 

大致翻译


您的文件都已被加密!

由于你电脑的安全问题,所有文件都被加密。如果您想恢复它们,请发送电子邮件至[email protected],标题写上ID号:18FD72D5
您必须支付【比特币】的解密费用。价格取决于你写给我们的速度。付款后,我们将向您发送解密工具,解密您的所有文件。

为了保证免费解密

付款之前,您可以向我们发送最多1个文件进行免费解密。文件的大小必须小于1Mb,并且文件不含有价值的信息。(数据库,备份,大型Excel表格等)。

如何获取比特币

购买比特币的最简单方法是LocalBitcoins网站。您必须注册,点击“购买比特币”,然后按支付方式和价格选择卖家。
……
您还可以在这里找到其他购买比特币和初学者指南的地方:
……

注意!

不要重命名加密文件。
不要试图使用第三方软件解密您的数据,否则可能会导致永久数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨(他们向我们收取费用),或者您可能成为骗局的受害者。

我仔细检查了服务器,发现该勒索病毒在C:\Windows\System32下创建了load.exe、Info.hta。

load.exe是加载勒索病毒文件,经过检测,他会调用C:\Windows\System32\tasthost.exe,下建立一个后台任务,并自动运行,目的是让load.exe保持运行。

Info.hta是静态HTML页面,就是文章开头的弹窗,点击查看源代码,是一个很普通的HTML文件,我已经将源码上传到了服务器里,大家可以点开下面的网址查看:

http://acm.gg/filedec.html

.hta文件调用了系统自带的C:\Windows\System32\mshta.exe,以进行HTML静态页面的显示。

接下来就是最重要的加密了,这个病毒的加密方式非常狠毒,所有文件后缀都加密!我们可以从图中看到除了常见的图片后缀jpg、png,网站源码js、html、json甚至连很不起眼的字体文件ttf都加密!

我们再看看其他文件夹,例如PHP的目录,特么连dll、exe、bat等等全部加密了!去年发生的wannacry病毒还没这么狠,这次的勒索病毒简直一点良心都没有了,人性毫无保留。

看到我的服务器很多东西没了,仿佛被泼了一盆冰水,在这焦阳底下竟然不觉得热!一点汗都不出。……好吧实验室里开着空调,16度,冻死了。

接下来我们反编译load.exe,看看有什么收获。我在资源浏览器里看到这些都是加密的字符串,暂时不知道是干嘛的。

看下汇编,找到它的入口点。

继续找,看到了它调用的Windows Api。

然而有些代码加密了,我们并不知道它到底做了什么,具体的加密和解密方法。

我们在vmware虚拟机里运行,使用Wireshark抓一下包,看看这个病毒会不会连接到互联网,能不能找到“阻止方法”呢?

打开load.exe后,该程序会询问网关,并且使用SMB协议询问网络上有多少开放的主机,目的是扫描内网有多少主机有漏洞,可以攻击。

如上图,我们还可以看到该病毒使用了UPNP端口映射,用以发现网络上其他设备,扫描端口为1900。

当然后面就是一直在扫描了。

现在我们来看看今天早上被攻击的抓包,这个是服务器提供商给我们的异常流量抓包截图。

我们可以看到确实利用的是微软远程桌面MSRDP的漏洞,使用了3389端口来攻击的服务器,经过确认,是CVE-2018-0886 | CredSSP 远程执行代码漏洞

漏洞分析


我们进入微软官网看看这个漏洞的介绍:

https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

凭据安全支持提供程序协议 (CredSSP) 是处理其他应用程序的身份验证请求的身份验证提供程序。

CredSSP 的未修补版本中存在远程代码执行漏洞。 成功利用此漏洞的攻击者可以在目标系统上中继用户凭据以执行代码。 任何依赖 CredSSP 进行身份验证的应用程序都可能容易受到此类攻击。
此安全更新通过更正 CredSSP 在身份验证过程中验证请求的方式来修复此漏洞。

让我们来看一下这个漏洞,具体可见https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-0886

凭据安全支持提供程序协议 (CredSSP) 中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在目标系统上中继用户凭据并使用其执行代码。

CredSSP 是为其他应用程序处理身份验证请求的身份验证提供程序;任何依赖 CredSSP 进行身份验证的应用程序都可能容易受到此类攻击。

例如,如果攻击者要针对远程桌面协议利用此漏洞,攻击者需要运行经特殊设计的应用程序,并针对远程桌面协议会话执行中间人攻击。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

此安全更新通过更正凭据安全支持提供程序协议 (CredSSP) 在身份验证过程中验证请求的方式来修复此漏洞。

若要全面防御此漏洞,用户必须在其系统上启用组策略设置并更新其远程桌面客户端。默认情况下禁用组策略设置以防止连接问题,用户必须按照此处所述的说明进行全面保护。

微软官方表示除了打补丁,目前没有任何方法来防护这个漏洞,而且这个漏洞非常重要!它波及到甚至最新的服务器版本Windows Server 2016和Windows 10 1803系统!

希望大家都能尽快打补丁,毕业设计快要答辩了,论文写的差不多了,突然被黑客加密,这个是我们都不愿意面对的!

打了补丁也不会出现远程桌面出现身份验证错误,要求的函数不正确,这可能是由于CredSSP加密Oracle修正……这个错误了。

防护措施


1.尽量使用最新版本的系统,打补丁!!不要觉得懒不更新不打补丁!

2.尽量使用Windows 10系统,而且不要关闭Windows Defender,亲测Defender可以防御该病毒,有图有真相:

3.360也未必能防得住此病毒,亲测关闭360后,连360都被加密无法运行。

4.重要文件记得备份,不然就算神仙也无法帮你找回。

5.没事不要随便打开Windows的设置,比如远程桌面,如果打开了请关掉它。

 

总结


所有的系统、软件都是都有漏洞的,被黑客利用可就不好了,渗透、入侵企业或者政府部门的服务器,会造成信息泄露、信息被修改、或者被删除等重大损失,有些黑客甚至还把重要的文件、数据库加密,要求支付赎金才给解锁,这种敲诈勒索行为已经影响到了千万个企业或政府部门了。

如果很不幸,你的服务器被别人入侵了,发现后第一件事情一定要关机、断网,而且是物理断网(拔网线),简单设置下防火墙就能防得住?不行~服务器里的所有数据都不要动,保留好证据,把还没被修改的文件全部拷贝出来。黑客的所作所为,都是有证据的(但是有些聪明的黑客,留下了后门,在退出远程的时候自动运行销毁记录的操作),我们可以在系统日志里看到所有的操作记录。

假设文件都被加密了,也不要缴纳赎金给黑客,而是想办法还原,当然你不是专业的就不要随便乱动,关机,断电,给专业的人恢复,不然会覆盖硬盘原有的数据,造成不可挽回的损失!

日常生活中,如何防护呢?首先最重要的是保持软件、系统的更新,系统推送的补丁一定要打!不要嫌打补丁的时候系统很慢,这是为你好,等你电脑数据都没了,你想后悔已经来不及了。第二,重要的数据一定要备份,把数据存U盘、网盘,多存几份,定时备份,这样就不怕数据丢失了。第三,不要点击来路不明的软件,特别是几百K以内的EXE文件,很多下载站的默认“高速下载”,下下来是几百K的EXE文件,经过我专业人士的测试,这个是有后门木马病毒的,他会在你电脑上强制安装“全家桶”,或者在后台运行它的程序,例如DDos肉鸡攻击器,或者挖矿程序,占用你的电脑资源。

如果您不巧中招了,欢迎找我bug来帮你恢复电脑~

8 comments on 2018年5月16日服务器遭遇新型比特币勒索病毒日志(黑客利用了CredSSP 远程执行代码漏洞)

发表评论

电子邮件地址不会被公开。 必填项已用*标注