吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5713|回复: 18
收起左侧

[PC样本分析] Bluesky勒索病毒爆发 对SQL Server数据库渗透攻击

 关闭 [复制链接]
火绒安全实验室 发表于 2022-7-19 15:39
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2022-7-19 15:49 编辑

近日,火绒安全实验室监测结果显示:Bluesky勒索病毒正在活跃。该病毒在3月份首次出现,在6月末开始爆发,其传播数量趋势如下图所示。火绒安全软件可查杀该病毒。

Image-0.png
Bluesky传播数量趋势图

黑客主要通过渗透攻击SQL Server数据库进行投毒传播。SQL Server是微软公司推出的关系型数据库系统,在个人和企业PC上应用广泛,一旦黑客攻陷该数据库,即会对用户产生直接的数据安全威胁。

该勒索病毒会对一些重要文件进行全文件加密,如后缀名为:db 、sql、ckp等数据库文件。其他文件只会加密文件前16MB如:txt、pdf、zip等文件,而Bluesky勒索病毒不仅对受害者电脑中的数据进行加密,还会对局域网中其他终端共享的资源进行加密。被加密后的文件后缀名为:.bluesky,并留下勒索信,勒索信的内容,如下所示:

Image-1.png
勒索信


被勒索后,需要支付0.1比特币(目前大概13325人民币)勒索病毒支付页面如下图所示:


Image-2.png
勒索病毒支付页面


针对各类勒索病毒,火绒安全软件在病毒入侵的各个维度上都做了针对性的预防。在防止网络渗透攻击维度,有网络入侵拦截、Web务保护、横向渗透防护、暴破攻击防护等模块进行防护;在防止黑客入侵过程维度,有系统加固和应用加固模块进行防护;在防病毒维度,有文件实时监控和恶意行为监控模块进行防护;在防投毒维度,有邮件监控、Web扫描、恶意网址拦截等模块进行防护。


同时,我们也建议用户从以下方面做好自查防护:1.定期更换域控、数据库、服务器上的管理员密码;

2.定期更新病毒库,定时组织内网进行全盘扫描;

3.定期更新补丁,修复漏洞;

4.定期检查防火墙及安全软件的防护日志,及时发现异常并解决;

5.定期备份重要的数据;

6.修改数据库默认端口,防止被扫描器暴破。


Image-3.png
火绒安全勒索病毒查杀图


详细分析传播途径分析

通过火绒终端威胁情报系统发现,黑客通过对SQL Server数据库进行渗透攻击的方式投放勒索病毒,攻击成功后,下发各种恶意程序并执行Powershell命令来下载、执行勒索模块,相关流程图,如下所示:


Image-4.png
Bluesky执行流程图

由于SQL Server数据库权限限制,黑客通过上传CVE-2021-1732漏洞利用程序提权并执行Powershell相关代码,如下图所示:


Image-5.png
利用CVE-2021-1732漏洞提权执行powershell命令


C&C服务器还会下发的后门模块,该恶意模块为CobaltStrike反射型注入后门模块beacon,相关模块数据,如下所示:


Image-6.png
导出表信息


Image-7.png
beacon后门模块相关字符串


CobaltStrike木马可以通过创建cmd进程来执行C&C服务器下发的Powershell命令,相关代码,如下图所示:   

Image-8.png
cmd进程来执行Powershell命令


加密相关分析加密算法分析

Bluesky勒索病毒使用chacha20算法(对称加密)来对文件数据进行加密,并将密钥通过curve25519椭圆曲线算法(非对称加密)进行加密,保存在被加密的文件中,在没有获取到相应私钥之前无法对文件进行解密。文件加密相关代码,如下图所示:


Image-9.png
文件加密



加密规则

Bluesky勒索病毒会绕开一些系统相关的重要文件避免影响操作系统运行,并会对一些重要文件以及数据库文件进行全文件加密,其他文件只会加密文件前16MB如:txt、pdf、zip等文件,全文件加密的文件名后缀列表,如下图所示:


Image-10.png
全文件加密的文件名后缀


加密线程

该线程通过传入指定目录,将遍历目录中所有要加密的文件路径,并对文件进行加密,相关代码,如下图所示:


Image-11.png
遍历目录并且加密文件


加密本地磁盘

获取本地磁盘路径传递给加密线程来对磁盘进行加密,相关代码,如下图所示:

Image-12.png
加密本地磁盘




加密网络驱动器

获取网络驱动器的路径,传递给加密线程来对网络驱动器进行加密,相关代码,如下图所示:


Image-13.png
加密网络驱动器



加密局域网中其他终端共享的资源

通过扫描局域网中开放445端口的终端,对目标共享的资源进行加密,相关代码,如下图所示:


Image-14.png
扫描局域网中开放445端口的终端



获取目标终端的共享资源路径,传递给加密线程来对其进行加密,相关代码,如下图所示:

Image-15.png
对目标共享资源进行加密



混淆手段

CobaltStrike木马通过多种壳进行对抗杀软,相关流程图,如下所示:


Image-16.png
CobaltStrike混淆流程图


API混淆,所有API都使用动态获取的方式得到,导致无法通过静态分析得到API名称,相关代码,如下图所示:

Image-17.png
动态获取API函数

字符串混淆,将所有的字符串进行加密,使用时动态解密,相关代码,如下图所示:

Image-18.png
字符串动态解密



附录

病毒HASH

Image-19.png

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

somnusz 发表于 2022-7-22 14:25
清风阁丶Hunter 发表于 2022-7-20 02:41
只能预防吗?还不能解密?

理论上没有对方的私钥,很难进行解密的。
tfrist 发表于 2022-7-20 00:49
谢谢分享!勒索病毒啊 只针对sql server啊!有点狭隘了!
清风阁丶Hunter 发表于 2022-7-20 02:41
路人王2021 发表于 2022-7-20 09:48
预防性破密,小白学习一下
咔c君 发表于 2022-7-20 10:07
不错学习了
smaillong007 发表于 2022-7-20 13:29
感谢分享,攻防小白学习了
kokdto1 发表于 2022-7-20 16:40
感谢分享
NINE09 发表于 2022-7-21 08:57

感谢分享,攻防小白学习了
斯馬特喪哥 发表于 2022-7-21 22:34
感谢分享,了解了攻击手段才知道怎么防御!
will01 发表于 2022-7-22 09:37
有没有样本可以提供进行分析呢?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 22:27

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表