【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

admin 2022年6月14日07:43:52评论822 views字数 4169阅读13分53秒阅读模式

通告编号:NS-2022-0019

2022-06-13
TAG: 7zip、7Locker、勒索软件
事件危害:

基于7z的跨平台勒索家族7Locker开始活跃,攻击者利用log4j2漏洞进行入侵。

版本: 1.0

一、事件概述

                   

2022年6月,绿盟科技CERT监测到多起通过使用7zip工具加密文件进行勒索的活动,根据本次勒索团伙所提供的在线解密站点信息,我们将本次勒索病毒的家族命名为7Locker勒索家族。

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

根据互联网情报的数据关联,发现该勒索病毒与另外一个名为Qlocker的勒索病毒在样本运行特点,在线解密站点风格等方面高度相似,因此怀疑Qlocker是本次7Locker的样本家族前身:

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)




二、攻击手法分析   

                   

本次捕获到的攻击事件,疑似是借助log4j2漏洞完成的主机入侵,而后通过Powershell等方式下载并执行了勒索程序,从而完成了失陷主机上的文件加密。应急排查发现在performance日志中存在log4j2漏洞的dnslog执行痕迹:

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)




三、样本分析   

                   

本次捕获到的勒索软件由Java编写,具有跨平台属性,分析研究人员可借助jadx等工具轻易得到源码内容。根据源码的编写逻辑、调试输出语句,编程风格等,推测由国人所编写:

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

样本的加密过程相对其他勒索软件而言较为直接,加密的执行逻辑同时兼顾了Windows和Linux两大类平台的用户场景:

1. 使用Java的强随机数生成器SecureRandom生成32字节长度的加密密码;

2. 枚举目标目录和文件格式,并调用外部的7z.exe程序对待加密文件逐个进行7z格式的加密压缩(命令行方式);

3. 投放勒索信。

其中,目标文件包含如下格式:

.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .sh .mp3 .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .ai .psd .nef .tiff .tif .cgm .raw .png .bmp .jpg .jpeg .vcd .backup .zip .rar .gz .tgz .tar .bak .tbk .bz2 .paq .arc .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .rdb .aspx .asax .ashx .properties .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc

同以往其他勒索软件相似,本样本同样会避开一些系统目录、库文件目录等关键路径,并尝试在加密前关闭部分数据库类服务程序,以获得数据库文件的操作权限。

针对打包压缩过程中所使用的32字节长度的7z加密密码,则是由样本在运行初始阶段随机生成,而后在加密阶段被当做7z.exe的命令行-p参数参与命令执行,如下图所示:

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

值得注意的是,失陷主机上所有被加密的文件,在加密过程中都复用了同一组7z加密密码。

而针对失陷主机上不存在7z程序的情况,该勒索软件的作者同样也有考虑到:对于Windows主机,样本会从自身的资源节中释放7z.exe和7z.dll文件;而针对Linux主机,则会尝试通过包管理器下载安装7z程序,以此来满足下一阶段加密环节的运行前提:

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

参与文件7z加密的加密密码(32 字节长度),随后会被内嵌在样本中的RSA公钥所加密,并保存至勒索信中。受害用户若想得到该7z加密密码的原始内容,则需要在暗网站点上提交勒索信中的Client Key,并交付赎金:

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

此处需要注意的是,Client Key并非是用以进行7z加密的密码,Client Key原始明文中包含了7z加密密码pwd、用户标识uid、时间戳unix epoch time三个字段:

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

命令行模式下勒索样本会将中间状态的调试信息打印出来:

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

但因为Client Key是经过RSA公钥加密而生成的,我们无法从Client Key直接解出7z的加密密码。



四、解密建议   

                   

针对该勒索样本的运行特点,我们提供一些解密建议和参考手段。因具体的解密和处置效果受多个因素影响,无法保证完全适用所有场景:

  • 若失陷主机上的勒索进程尚未结束(可观察到java进程或正在运行的7z进程):

    可使用Process Hacker/ProcessMonitor等一类能监控/记录进程信息的工具,记录/查看7z进程的命令行启动参数,或挂起当前java进程,尝试从进程dump/内存中搜索长度大约在32字节左右的ASCII字符串。

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

由于样本在加密所有文件过程中复用了同一套7z密码,因此只需捕获到一处密码信息,就可以应用于所有被加密的文件。测试验证效果如下:

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议) 

使用上述方法获取到7z加密密码:dbNuTRFebksat87pWw8rfTFRRMK2njHG,对被加密的.7z文件进行解密,可得到正常的.doc原始文档。

  • 尝试使用误删恢复软件(被覆盖的文件大小、距离被加密时间点的时长,主机的负载等都可能会影响文件还原的效果)。




五、勒索软件防范建议   

                   
  • 加强企业员工安全意识培训,不轻易打开陌生邮件或运行来历不明的程序;
  • 尽量避免危险端口对外开放,利用IPS、防火墙等设备对危险端口进行防护(445、139、3389等);
  • 开启Windows系统防火墙,通过ACL等方式,对RDP及SMB服务访问进行加固;
  • 通过Windows组策略配置账户锁定策略,对短时间内连续登录失败的账户进行锁定;
  • 加强主机账户口令复杂度及修改周期管理,并尽量避免出现通用或规律口令的情况;
  • 修改系统管理员默认用户名,避免使用admin、administrator、test等常见用户名;
  • 安装具备自保护的防病毒软件,防止被黑客退出或结束进程,并及时更新病毒库;
  • 及时更新操作系统及其他应用的高危漏洞安全补丁;
  • 定时对重要业务数据进行备份,防止数据破坏或丢失。




六、产品防护    

                   

针对log4j2相关漏洞,绿盟科技网络入侵防护系统(IPS)、WEB应用防护系统(WAF)与下一代防火墙(NF)已发布规则升级包,请相关用户升级规则包至最新版,以形成安全产品防护能力。安全防护产品规则版本号如下:

安全防护产品

规则版本号

升级包下载链接

规则编号

IPS

5.6.11.27711

http://update.nsfocus.com/update/downloads/id/128630

[25475]

5.6.10.27711

http://update.nsfocus.com/update/downloads/id/128628

5.6.9.27026

http://update.nsfocus.com/update/downloads/id/123812

WAF

6.0.7.3.54884

http://update.nsfocus.com/update/downloads/id/127683

27005085

6.0.7.0.54884

http://update.nsfocus.com/update/downloads/id/127684

NF

6.0.2.871

http://update.nsfocus.com/update/downloads/id/127136

25476

6.0.1.871

http://update.nsfocus.com/update/downloads/id/127135

6.0.60.871

http://update.nsfocus.com/update/downloads/id/127133

6.0.70.871

http://update.nsfocus.com/update/downloads/id/127134

产品规则升级的操作步骤详见如下链接:
IPS:https://mp.weixin.qq.com/s/DxQ3aaap8aujqZf-3VbNJg
WAF:https://mp.weixin.qq.com/s/7F8WCzWsuJ5T2E9e01wNog
NF:https://mp.weixin.qq.com/s/R3k_KJm4O52bxy794jjo4A




、IOCs   

                   

86B526AC4722CD8C2C32D0F6D5A63E2C

主机特征:

!!!READ_ME___YOUR_FILES_ENCRYPTED.txt


END

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)         
【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)        
声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。            

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。            

【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

绿盟科技CERT 微信公众号
【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)
【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)
长按识别二维码,关注网络安全威胁信息


原文始发于微信公众号(绿盟科技CERT):【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月14日07:43:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全事件】警惕!使用7zip的跨平台勒索病毒7Locker开始肆虐(含解密建议)https://cn-sec.com/archives/1113467.html

发表评论

匿名网友 填写信息