韩国网络托管公司Nayana于6月10日遭遇勒索软件攻击,153台Linux服务器沦陷,该公司同意支付价值100万美元(约合683万人民币)的比特币。
这起勒索攻击导致Nayana托管的3400多个公司网站被加密。Nayana 公司6月12日最初发布公告称,攻击者要索要550比特币(超过160万 美元)解密被感染的文件。此后,双方经过协调,攻击者将勒索金降低到397.6比特币(约100万美元)。
Nayana公司宣布将分三期支付赎金,攻击者根据支付的赎金相应解密受影响的服务器。目前,Nayana公司已完成前两期支付,目前正在恢复前两批服务器。
Trend Micro揭露,这起攻击中使用的勒索软件为“Erebus”。Erebus勒索软件显然要比上个月臭名昭著的WannaCry更有收获,其仅凭攻击一家公司就让其金银满钵,相比之下尽管WannaCry声势浩大,广撒网,其肆虐几天收获不过几十个比特币,真所谓没有比较就没有伤害。
Erebus勒索软件于2016年9月初次被发现,今年二月再现江湖,具备Windows User Account Control(Windows用户账户控制)绕过功能。下图为Trend Micro目前为止公开的有关Linux版Erebus的技术细节。
图:Erebus发布多语言版本的勒索信(此图为英文版)
图:攻击者演示如何解密加密文件的视频截图
企及目标借助的媒介Trend Micro指出,显然有人将Erebus移植到Linux,并用来瞄准易受攻击的服务器。Nayana网站在Linux内核2.6.24.2上运行,编译时间要追溯到2008年,因此极易遭受大量漏洞利用,为攻击者提供服务器的Root访问权限,例如“脏牛”(Dirty Cow,CVE-2016-5195)漏洞。
研究人员表示,Nayana公司网站还使用2006年发布的Apache 1.3.36和PHP 5.1.4,其中包含已知漏洞。攻击者很有可能利用易受攻击的Linux安装作为入侵Nayana系统的切入点。Nayana 使用的Apache 1.3.36作为匿名用户(uid=99)运行,也许这起攻击中已利用了本地漏洞。
图:提交到VirusTotal的Linux版Erebus
Erebus的主要攻击对象似乎为韩国,但是,VirusTotal显示,有些Erebu样本来自乌克兰和罗马利亚。Trend Micro认为,可能还有其它研究人员发现了这款恶意软件。
攻击者采用复杂的 加密程序一些勒索软件家族惯于在加密算法层中打乱文件,例如UIWIX、Cerber的后几个版本以及DMA Locker,而Erebus将这种做法升级。Erebus加密的每个文件将具有以下格式:
Erebus使用的加密方法复杂,使得在不借助RSA密钥的情况下难以解密。这款恶意软件使用RSA算法加密AES密钥,并使用唯一的AES密钥加密每个被感染的文件。
Trend Micro解释称,攻击者首先通过500kB块(带有随机生成密钥)中的RC4加密打乱文件,之后通过存储在文件中的AES加密算法对RC4密钥进行编码。之后,AES密钥再次通过存储在该文件中的RSA-2048算法加密。
虽然每个加密文件都具有RC4和AES密钥,但RSA-2048公共密钥时共享的。这些RSA-2048密钥在本地生成,但私钥却通过AES加密和另一个随机生成的密钥加密。Trend Micro的分析表明,如果不获取RSA密钥,根本不可能完成解密。
被加密的文件类型研究人员表示,这款恶意软件针对Office文档、数据库、存档文件和多媒体文件,能加密433个文件类型。然而,这款恶意软件专门加密Web服务器以及其中包含的数据。
Erebus针对433个文件类型包括:
Office文档(.pptx, .docx, .xlsx)
数据库(.sql、.mdb、 .dbf、.odb)
存档文件(.zip、.rar)
电邮文件(.eml、.msg)
与网站相关的文件和开发人员项目文件(.html、 .css、 .php、 .java)
多媒体文件(.avi、 .mp4)
图:Erebus搜索的系统表空间
Trend Micro总结称,以Nayana为例,Linux是一个越来越受欢迎的操作系统,也是各个行业的组织机构(从服务器到数据库,再到Web开发和移动设备)在业务流程中常使用的元素。数据中心和托管/存储服务提供商通常也在使用运行Linux的设备。
本文转自d1net(转载)
相关资源:Erebus密码管理器-源码