Bluesky勒索病毒爆發 對SQL Server數據庫滲透攻擊
近日,火絨安全實驗室監測結果顯示:Bluesky勒索病毒正在活躍。該病毒在3月份首次出現,在6月末開始爆發,其傳播數量趨勢如下圖所示。火絨安全軟件可查殺該病毒。
Bluesky傳播數量趨勢圖
黑客主要通過滲透攻擊SQLServer數據庫進行投毒傳播。SQLServer是微軟公司推出的關系型數據庫系統,在個人和企業PC上應用廣泛,一旦黑客攻陷該數據庫,即會對用戶產生直接的數據安全威脅。
該勒索病毒會對一些重要文件進行全文件加密,如后綴名為:db、sql、ckp等數據庫文件。其他文件只會加密文件前16MB如:txt、pdf、zip等文件,而Bluesky勒索病毒不僅對受害者電腦中的數據進行加密,還會對局域網中其他終端共享的資源進行加密。被加密后的文件后綴名為:.bluesky,并留下勒索信,勒索信的內容,如下所示:
勒索信
被勒索后,需要支付0.1比特幣(目前大概13325人民幣)勒索病毒支付頁面如下圖所示:
勒索病毒支付頁面
針對各類勒索病毒,火絨安全軟件在病毒入侵的各個維度上都做了針對性的預防。在防止網絡滲透攻擊維度,有網絡入侵攔截、Web服務保護、橫向滲透防護、暴破攻擊防護等模塊進行防護;在防止黑客入侵過程維度,有系統加固和應用加固模塊進行防護;在防病毒維度,有文件實時監控和惡意行為監控模塊進行防護;在防投毒維度,有郵件監控、Web掃描、惡意網址攔截等模塊進行防護。
同時,我們也建議用戶從以下方面做好自查防護:
1.定期更換域控、數據庫、服務器上的管理員密碼;
2.定期更新病毒庫,定時組織內網進行全盤掃描;
3.定期更新補丁,修復漏洞;
4.定期檢查防火墻及安全軟件的防護日志,及時發現異常并解決;
5.定期備份重要的數據;
6.修改數據庫默認端口,防止被掃描器暴破。
火絨安全勒索病毒查殺圖
PART1
詳細分析
傳播途徑分析
通過火絨終端威脅情報系統發現,黑客通過對SQLServer數據庫進行滲透攻擊的方式投放勒索病毒,攻擊成功后,下發各種惡意程序并執行Powershell命令來下載、執行勒索模塊,相關流程圖,如下所示:
Bluesky執行流程圖
由于SQLServer數據庫權限限制,黑客通過上傳CVE-2021-1732漏洞利用程序提權并執行Powershell相關代碼,如下圖所示:
利用CVE-2021-1732漏洞提權執行powershell命令
C&C服務器還會下發的后門模塊,該惡意模塊為CobaltStrike反射型注入后門模塊beacon,相關模塊數據,如下所示:
導出表信息
beacon后門模塊相關字符串
CobaltStrike木馬可以通過創建cmd進程來執行C&C服務器下發的Powershell命令,相關代碼,如下圖所示:
cmd進程來執行Powershell命令
加密相關分析
加密算法分析
Bluesky勒索病毒使用chacha20算法(對稱加密)來對文件數據進行加密,并將密鑰通過curve25519橢圓曲線算法(非對稱加密)進行加密,保存在被加密的文件中,在沒有獲取到相應私鑰之前無法對文件進行解密。文件加密相關代碼,如下圖所示:
文件加密
加密規則
Bluesky勒索病毒會繞開一些系統相關的重要文件避免影響操作系統運行,并會對一些重要文件以及數據庫文件進行全文件加密,其他文件只會加密文件前16MB如:txt、pdf、zip等文件,全文件加密的文件名后綴列表,如下圖所示:
全文件加密的文件名后綴
加密線程
該線程通過傳入指定目錄,將遍歷目錄中所有要加密的文件路徑,并對文件進行加密,相關代碼,如下圖所示:
遍歷目錄并且加密文件
加密本地磁盤
獲取本地磁盤路徑傳遞給加密線程來對磁盤進行加密,相關代碼,如下圖所示:
加密本地磁盤
加密網絡驅動器
獲取網絡驅動器的路徑,傳遞給加密線程來對網絡驅動器進行加密,相關代碼,如下圖所示:
加密網絡驅動器
加密局域網中其他終端共享的資源
通過掃描局域網中開放445端口的終端,對目標共享的資源進行加密,相關代碼,如下圖所示:
掃描局域網中開放445端口的終端
獲取目標終端的共享資源路徑,傳遞給加密線程來對其進行加密,相關代碼,如下圖所示:
對目標共享資源進行加密
混淆手段
CobaltStrike木馬通過多種殼進行對抗殺軟,相關流程圖,如下所示:
CobaltStrike混淆流程圖
API混淆,所有API都使用動態獲取的方式得到,導致無法通過靜態分析得到API名稱,相關代碼,如下圖所示:
動態獲取API函數
字符串混淆,將所有的字符串進行加密,使用時動態解密,相關代碼,如下圖所示:
字符串動態解密
附錄
病毒HASH
