「魔鬼」撒旦（Satan）利用「永恆之藍」漏洞捲土重來主攻資料庫

04-27

導言：自2017年4月發生轟動全球的NSA黑客武器庫泄漏事件以來，「永恆之藍」漏洞攻擊工具帶來的網路安全威脅從未間斷。近日，騰訊御見威脅情報中心發現「魔鬼」撒旦（Satan）勒索病毒攜「永恆之藍」漏洞攻擊工具捲土重來。本文將對魔鬼撒旦（Satan）勒索病毒進行詳細分析。

目錄：

一、概述

二、威脅等級

三、影響面

四、樣本分析

五、解決方案

一、概述

騰訊御見威脅情報中心分析發現此次撒旦（Satan）勒索病毒攜手永恆之藍漏洞攻擊工具，利用NSA泄露的永恆之藍漏洞工具主動攻擊區域網內其他存在漏洞的系統，最終有選擇性的將伺服器資料庫進行高強度加密。

加密完成後，會用中英韓三國語言索取0.3個比特幣作為贖金，並威脅三天內不支付不予解密。

二、威脅等級（高危）

危害評估：☆

加密伺服器資料庫文件，若無備份，將對企業正常業務產生不可逆的破壞。

影響評估：☆☆

通過永恆之藍漏洞攻擊工具在區域網內橫向傳播，主動入侵未安裝補丁的伺服器。

技術評估：☆☆

雖然利用永恆之藍攻擊工具，只要安裝系統補丁就能防禦此類攻擊。

三、影響面

未安裝永恆之藍漏洞補丁的系統

四、樣本分析

st.exe首先會去C&C伺服器上下載ms.exe(永恆之藍工具)和Client.exe（Satan勒索病毒）並運行，運行後獲取本地IP網段，利用釋放的永恆之藍組件進行感染其他機器。

圖1

利用shellExecute運行cmd.exe,執行「/c cd /D C:\Users\Alluse~1\&blue.exe --TargetIp x.x.x.x & star.exe --OutConfig a --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload down64.dll --TargetIp x.x.x.x 「

對永恆之藍組件分析，ms.exe(永恆之藍工具)是個SFX自解壓文件，解壓文件夾為 C:\Users\Alluse~1\，組件中注入lsass.exe程序中的down64.dll和down86.dll作用是下載運行st.exe。

圖2

Client.exe（Satan勒索病毒）運行後首先關閉sql相關服務：

MySQL、MySQLa、SQLWriter、SQLSERVERAGENT、MSSQLFDLauncher、MSSQLSERVER

圖3

結束資料庫相關進程

Sqlservr.exe、mysqld.exe、nmesrvc.exe、sqlagent.exe、fdhost.exe、fdlauncher.exe、reportingservicesservice.exe、omtsreco.exe、tnslsnr.exe、oracle.exe、emagent.exe、perl.exe、sqlwriter.exe、mysqld-nt.exe

圖4

釋放勒索信息ReadMe_@.TXT，比特幣錢包地址：1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8，

聯繫郵箱：satan_pro@mail.ru

圖5

當文件在以下目錄時，不加密

windows、boot、i386、st_v2、intel、recycle、jdk、lib、lib、all users、360rec、360sec、360sand、favourites、common files、internet explorer、msbuild、public、360downloads