Sodinokibi 勒索病毒利用 CVE-2018 - 8453发起攻击 今年 4月底， 360安全大脑监控到有黑客通过 Weblogic 漏洞为主的各类 Web 组件漏洞攻击服务器，植入 sodinokibi 勒索病毒（小蓝屏勒索病毒）。在这之 后的几天内，黑客开始使用更多方式传播 sodinokibi 勒索病毒，扩大传播范 围。该病毒还利用了 cve-2018 -8453 Windows 内核提权漏洞，使病毒威力进一 步加强。根据 360安全大脑的监控，这一病毒近期在持续发起攻击，管理员和 企业用户应该做好防范。 图1 sodinokibi 勒索病毒勒索信息 传播 1. 通过 Web应用漏洞攻击服务器植入 sodinokibi 勒索病毒 通过 Web应用漏洞攻击服务器植入 sodinokibi 勒索病毒是近期该病毒最为 常用的传播方式，攻击者主要使用 4月底刚披露的 Weblogic 远程代码执行漏 洞CVE-2019 -2725，并配合其他 nday漏洞对 Windows 服务器发起攻击。在 攻击目标的选择上， Weblogic 占80%以上，这也是因为最新披露的 Weblogic 漏洞 CVE-2019 -2725相较于其他平台的 nday漏洞攻击 成功率更高，此外， Tomcat、PHPMyAdmin 等Web应用也遭到攻击。 图2 受攻击 Web应用分布 攻击成功后，通常使用 PowerShell.exe 或certutil.exe 下载 sodinokibi 勒 索病毒并运行，下载勒索病毒的命令行如下图所示。 图3 攻击 Web应用成功后植入勒索病毒时使用的命令行 通过家族关联我们发现，今年 4月底投递 sodinokibi 勒索病毒的攻击团伙 与之前攻击 Web应用漏洞投递 GandCrab 的攻击团伙有较大关联，两者使用 多个相同的域名存放勒索病毒，该团伙上次攻击 Web应用投递 GandCrab 勒 索病毒的时间在 4月15日左右，此外，该团伙在投递 sodinokibi 勒索病毒的 同时也会往部分服务器投递 GandCrab 5.2 勒索病毒。 图4 该攻击团伙使用同一域名存放 GandCrab 勒索病毒和 sodinokibi 勒索病毒 图5 该攻击团伙在投递 sodinokibi 勒索病毒的同时也会投递 GandCrab 勒索病毒 通过该攻击团伙的攻击趋势图更能直观看出，该攻击团伙在今年 4月中旬 之前一直传播 GandCrab 勒索病毒。为何该攻击团伙 不再传播 GandCrab 勒索 病毒勒索病毒而是选择一种新的勒索病毒呢？我们猜测该攻击团伙不愿意继续 向GandCrab 勒索病毒开发团队支付私钥购买费用。按照 GandCrab 勒索病毒 开发团队的说法，传播 GandCrab 勒索病毒的黑客可以以 100美元每个或者 300美元每周的形式向 GandCrab 勒索病毒开发者购买私钥。而该攻击团伙由 传播 GandCrab 勒索病毒转向传播 sodinokibi 勒索病毒， “单干”意图明显。 图6 该攻击团伙传播不同勒索病毒趋势图 2. 通过垃圾邮件传播 sodinokibi 勒索病毒 sodinokibi 勒索病毒攻击 Web应用的风波未平，攻击者又开始通过垃圾邮 件传播 sodinokibi 勒索病毒。在 5月1日-5月8日中， 360安全大脑捕捉到两 种通过垃圾邮件传播的 sodinokibi 勒索病毒载体，前者是伪装成图片的可执行 文件，后者是带有恶意宏的 Word文档。 伪装成图片的可执行文件为 “원본 이미지 .jpg .exe” （中文名：原始图 像）。垃圾邮件附件使用一种小众的压缩包格式 egg，解压该压缩包即可获得 勒索病毒可执行文件。攻击者在文件名中插入大量空格加长文件名从而隐藏后 缀名，达到迷惑受害者的目的。 图7 勒索病毒文件名 从勒索病毒所使用的文件名看，攻击者的目标为韩语使用者。根据 360安 全大脑监控数据得知，遭到该钓鱼邮件攻击的国内用户主要为韩语教学从业 者、外贸行业从业者以及在华韩国人。 带有恶意宏的 Word文档文件 名为“견적 요청서- 0508.doc” （中文名：要求报价 -0508），用户点击文档并允许宏运行后，恶意 文档会从 hxxp://ooloolabc.com/aoofof.exe 下载 sodinokibi 勒索病毒并运行。 图 8 传播 sodinokibi 勒索病毒的文档内容 图9 恶意文档中的部分宏代码 遭到该钓鱼邮件攻击的国内用户主要包括运输行业从业者与外贸行业从业 者，而这类以 “报价”、“发票”等字样作为文件名的钓鱼文档也是这些行业遭到的 钓鱼攻击中最常见的。 病毒分析 和GandCrab 的勒索病毒类似， sodinokibi 也会删除系统的文件卷影副 本，破坏系统的恢复功能： 图10 病毒删除磁盘卷影副本 在加密文件方面，使用了 “白名单 ”机制，勒索病毒只避开了一些程序文件 和系统运行所需的关键文件，其余文件类型一律加密，这也大大增强了病毒的 破坏性。 图11 待加密文件后缀 值得一提的是， sodinokibi 勒索病毒使用提权漏洞 CVE-2018 -8453将自身 权限提升为 SYSTEM 。拥有 SYSTEM 权限后， sodinokibi 勒索病毒拥有对更 多文件的读写权，为加密计算机 中的文件铺平了道路。 图12 病毒自身提权 防护建议 360安全大脑提醒广大管理员和企业用户，做好防护，抵御勒索病毒攻 击，下面几条安全建议应格外注意： 1. 服务器管理员应及时 为系统及系统中运行的 Web应用安装补丁，并使用强 度较高的系统登录密码和 Web应用后台登录密码； 2. 不打开陌生人发来的邮件中的附件、文档、链接等； 3. 安装可靠的安全软件来抵御勒索病毒的攻击。 图13 拦截勒索病毒弹窗 IOCs hxxp://165.22.155.69/wolf.exe hxxp://188.166.74.218/go.b64 hxxp://188.166.74.218/fox.exe hxxp://188.166.74.218/dog.exe hxxp://188.166.74.218/ment .exe hxxp://188.166.74.218/office.exe hxxp://188.166.74.218/untitled.exe hxxp://188.166.74.218/radm.exe hxxp://45.55.211.79/.cache/untitled.exe hxxp://68.183.62.59/horse.exe 8e00206418ab31539111515533a9953f 77fcd5f32613cec97cd2ebd2922685d2 5648049aade846e138f4d7c80b592505 145ba213336bbb05c09d2bcf198aa3bd