安全路透社
当前位置:安全路透社 > 网络转载 > 正文

这款2016年就开源的勒索软件,至今仍威胁着全球网络安全

Github-ransomware-project.png

这个项目早在2016年初发布,至今仍然威胁着全球网络安全。

这款在GitHub上开源的PHP勒索软件项目,名称很直白——就叫“勒索软件(Ransomware)”,是由一位名叫ShorTcut(或Shor7cut)的印尼黑客发布的,这位黑客同时也是Bug7sec和Indonesia Defacer Tersakiti这两个黑客组织的成员。

过去一年间,这个项目的源码已经被三款勒索软件采用,用来攻击Web服务器。

一款软件养活三批黑客

这一款开源勒索软件养活了三批黑客,他们在此基础上进行少量修改,攻击其他网站。

最先发现的一款勒索软件名叫JapanLocker,由Fortinet研究人员发现于2016年10月中旬。

Jlocker007.png

JapanLocker这个奇怪的名称之所以得名,是来自勒索信息中提到的一个邮箱地址。

Jlocker016.png

研究人员在网上搜索到类似的网页,这些网页标注的地址显然与shor7cut组织有关。

Jlocker018.png

第二款勒索软件名为Lalabitch,2017年7月初由研究员Michael Gillespie发现。Lalabitch这个名字的来源是勒索软件加密文件后的后缀。

TIM截图20170816160816.png

第三款勒索软件同样在7月被检测到,这是最近一波针对php服务器的勒索攻击。这款软件的加密后缀是.ev。Wordfence检测到了这个病毒,把它起名为EV勒索软件并进行了一些调查研究。

尽管三款勒索软件都使用了相同的代码,但我们无法认定他们由同一群人传播。由于代码在GitHub开源,我们也不知道ShorTcut有没有进行传播,因为任何人都可能复制这些代码。

功能并不完善

不过无论是JapanLocker, Lalabitch还是EV都没有解密功能。

勒索软件能够正常加密文件,但是当用户想要恢复文件时则会出现错误,即便他们已经支付了赎金,收到了解密代码。

“你得找个厉害的PHP程序员帮你修复他们出错的代码,之后才能进行解密。”Wordfence CEO Mark Maunder提到。

值得庆幸的是,这三款勒索软件还没有造成大规模影响,只是感染了个别网站。

事实上,攻击者还需要找到漏洞安装勒索软件,这听起来很容易,实际上难得多。黑客需要上传勒索软件PHP文件到服务器,然后运行,加密文件。

EV-ransomware.png

除此之外,另外一个麻烦是,现在很多网站都会配置自动备份系统,这些系统有些是网站层面的系统,有些则是服务器级别的,站长可以很容易恢复网站内容。因此EV跟其他针对服务器环境的勒索软件一样,很难真正得到赎金。

Wordfence是一家专门提供WordPress防火墙的厂商,根据它的研究,EV勒索软件的目标只有WordPress服务器。而安全研究员MalwareHunter称,攻击者可以在任何web服务器运行勒索软件,加密任何CMS。

WordPress有庞大的市场份额,世界前100万网站中有27.5%运行着WordPress软件,因此攻击者之所以选择针对WordPress,可能是因为WordPress庞大的市场份额让寻找漏洞主机变得更加容易。

针对Web服务器的勒索软件

近年来针对web服务器的勒索软件也开始涌现,其中包括:

— CTB-Locker (有web服务器版,也有针对PC的版本)

— Heimdall (也在GitHub开源了)

— KimcilWare (目标主要是Magento CMS)

— Linux.Encoder.1 (针对web服务器和代码仓库)

另外,Rex僵尸网络的作者在做IoT病毒之前也曾经制作过“勒索软件”,他用SQL注入漏洞攻击了Drupal网站,然后挂上一个黑页,上面写着勒索信息,让那些受害者们支付赎金。

尽管我们前面提到,自动备份系统让web服务器的勒索软件束手无策,但我们不能掉以轻心,WannaCry事件历历在目,勒索软件加上传播特性,其威力是无穷的。

Wana_Decrypt0r_screenshot.png

首先有一些服务器可能并没有托管在web host运营商上,而相关的安全服务也并不完善,加上存在的一些漏洞就有可能出现服务器遭到入侵的情况。

另外一种情况是不排除有些主机厂商没有配备备份系统,尤其是那些低端的,系统版本老旧的主机厂商。

今年6月, 韩国网络托管公司Nayana遭到入侵,旗下153台Linux 服务器与3,400个网站感染Erebus勒索软件。

linux-ransomware.png

一旦60种目标文件扩展名遭Erebus加密,桌面就会出现一张赎金交纳通知,要求受害者支付550比特币(超过160万美元)的赎金来解锁加密文件。后来Nayana与网络犯罪分子进行谈判,最终同意分3期支付397.6比特币(约合101万美元)。

趋势科技认为Nayana的主机服务器在Linux内核2.6.24.2上运行,因此Erebus Linux勒索软件可能已经使用了一些已知的漏洞,如DIRTY COW(脏牛);或是利用本地Linux漏洞来接管系统的root访问权限。

NAYANA使用的Apache版本是以nobody(uid = 99)的用户身份运行的,这表明攻击中也使用了本地Linux漏洞。此外,NAYANA的网站使用的主要是Apache版本1.3.36和PHP版本5.1.4,两者均是2006年发布的。 

使用了如此老旧的软件,也难怪被黑了。

*参考来源:BleepingComputer,本文作者:Sphinx

未经允许不得转载:安全路透社 » 这款2016年就开源的勒索软件,至今仍威胁着全球网络安全

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册