Bluesky勒索病毒爆發 對SQL Server數據庫滲透攻擊
近日,火絨安全實驗室監測結果顯示:Bluesky勒索病毒正在活躍。該病毒在3月份首次出現,在6月末開始爆發,其傳播數量趨勢如下圖所示。火絨安全軟件可查殺該病毒。
黑客主要通過滲透攻擊SQL Server數據庫進行投毒傳播。SQL Server是微軟公司推出的關係型數據庫系統,在個人和企業PC上應用廣泛,一旦黑客攻陷該數據庫,即會對用户產生直接的數據安全威脅。
該勒索病毒會對一些重要文件進行全文件加密,如後綴名為:db 、sql、ckp等數據庫文件。其他文件只會加密文件前16MB如:txt、pdf、zip等文件,而Bluesky勒索病毒不僅對受害者電腦中的數據進行加密,還會對局域網中其他終端共享的資源進行加密。被加密後的文件後綴名為:.bluesky,並留下勒索信,勒索信的內容,如下所示:
被勒索後,需要支付0.1比特幣(目前大概13325人民幣)勒索病毒支付頁面如下圖所示:
針對各類勒索病毒,火絨安全軟件在病毒入侵的各個維度上都做了針對性的預防。在防止網絡滲透攻擊維度,有網絡入侵攔截、Web服務保護、橫向滲透防護、暴破攻擊防護等模塊進行防護;在防止黑客入侵過程維度,有系統加固和應用加固模塊進行防護;在防病毒維度,有文件實時監控和惡意行為監控模塊進行防護;在防投毒維度,有郵件監控、Web掃描、惡意網址攔截等模塊進行防護。
同時,我們也建議用户從以下方面做好自查防護:
1.定期更換域控、數據庫、服務器上的管理員密碼;
2.定期更新病毒庫,定時組織內網進行全盤掃描;
3.定期更新補丁,修復漏洞;
4.定期檢查防火牆及安全軟件的防護日誌,及時發現異常並解決;
5.定期備份重要的數據;
6.修改數據庫默認端口,防止被掃描器暴破。
詳細分析
傳播途徑分析
通過火絨終端威脅情報系統發現,黑客通過對SQL Server數據庫進行滲透攻擊的方式投放勒索病毒,攻擊成功後,下發各種惡意程序並執行Powershell命令來下載、執行勒索模塊,相關流程圖,如下所示:
由於SQL Server數據庫權限限制,黑客通過上傳CVE-2021-1732漏洞利用程序提權並執行Powershell相關代碼,如下圖所示:
C&C服務器還會下發的後門模塊,該惡意模塊為CobaltStrike反射型注入後門模塊beacon,相關模塊數據,如下所示:
CobaltStrike木馬可以通過創建cmd進程來執行C&C服務器下發的Powershell命令,相關代碼,如下圖所示:
加密相關分析
加密算法分析
Bluesky勒索病毒使用chacha20算法(對稱加密)來對文件數據進行加密,並將密鑰通過curve25519橢圓曲線算法(非對稱加密)進行加密,保存在被加密的文件中,在沒有獲取到相應私鑰之前無法對文件進行解密。文件加密相關代碼,如下圖所示:
加密規則
Bluesky勒索病毒會繞開一些系統相關的重要文件避免影響操作系統運行,並會對一些重要文件以及數據庫文件進行全文件加密,其他文件只會加密文件前16MB如:txt、pdf、zip等文件,全文件加密的文件名後綴列表,如下圖所示:
加密線程
該線程通過傳入指定目錄,將遍歷目錄中所有要加密的文件路徑,並對文件進行加密,相關代碼,如下圖所示:
加密本地磁盤
獲取本地磁盤路徑傳遞給加密線程來對磁盤進行加密,相關代碼,如下圖所示:
加密網絡驅動器
獲取網絡驅動器的路徑,傳遞給加密線程來對網絡驅動器進行加密,相關代碼,如下圖所示:
加密局域網中其他終端共享的資源
通過掃描局域網中開放445端口的終端,對目標共享的資源進行加密,相關代碼,如下圖所示:
獲取目標終端的共享資源路徑,傳遞給加密線程來對其進行加密,相關代碼,如下圖所示:
混淆手段
CobaltStrike木馬通過多種殼進行對抗殺軟,相關流程圖,如下所示:
API混淆,所有API都使用動態獲取的方式得到,導致無法通過靜態分析得到API名稱,相關代碼,如下圖所示:
字符串混淆,將所有的字符串進行加密,使用時動態解密,相關代碼,如下圖所示:
附錄
病毒HASH
- 謹防數據泄露!“即刻PDF閲讀器”內置後門收集用户隱私
- 絨絨説安全:你的數據是如何泄露的?
- 勒索病毒Magniber新變種出現,火絨安全可查殺
- Bluesky勒索病毒爆發 對SQL Server數據庫滲透攻擊
- 遊戲黨注意!Rootkit病毒新變種通過私服登錄器傳播
- GPU算力加速掃描,火絨安全產品再升級
- 五種免殺bypass火絨360姿勢橫向測評:哪款更適合你?
- 從火絨特徵碼識別到免殺的思考...
- 流氓軟件傳播病毒感染量數萬 下載站仍是主要推廣渠道
- 佈局新領域 火絨安全企業產品Linux終端、macOS終端開啟公測
- 2022-03微軟漏洞通告
- 政企機構用户注意!蠕蟲病毒Prometei正在針對局域網橫向滲透傳播
- 熱補丁|火絨安全發佈Log4j2漏洞緩解工具
- 難破防!多因素認證到底安全在哪兒
- Emotet木馬病毒死灰復燃 瞄準企業用户發起攻擊
- 玩家請注意!傳奇私服正攜帶病毒劫持網絡流量 火絨安全已攔截
- 絨絨説漏洞(上):0day——漏洞中的“無名之毒”
- 注意!一組點擊器病毒正在快速傳播 火絨已全面攔截
- “上次看到木馬病毒,還是在上次” 木馬病毒為何如此常見
- 黑雷模擬器誘導用户下載挖礦程序 火絨提醒謹慎使用