Sodinokibi(REvil)勒索病毒最新變種攻擊Linux平臺
責編:gltian |2021-07-02 11:33:55
前言
近日,國外安全研究人員爆光了一個Linux平臺上疑似Sodinokibi勒索病毒家族最新樣本,如下所示:
Sodinokibi(REvil)勒索病毒的詳細分析以及資料可以參考筆者之前的一些文章,這款勒索病毒黑客組織此前一直以Windows平臺為主要的攻擊目標,目前首次發現這款勒索病毒Linux平臺上的最新變種樣本,未來會不會有相關的安全事件爆發,需要持續關注。
分析
筆者從一個惡意軟件平臺上下載到病毒樣本,病毒運行之后,如下所示:
樣本的基礎結構如下所示:
獲取勒索病毒中內置的配置文件信息,如下所示:
可以發現這個配置文件信息內容與此前Sodinokibi勒索病毒的非常相似,獲取到的配置信息,如下所示:
生成文件加密后綴名qoxaq,如下所示:
生成勒索提示信息文件內容,如下所示:
調用esxcli命令關閉虛擬機進程,如下所示:
相關的命令行,如下:
esxcli —formatter=csv —format-
param=fields==”WorldID,DisplayName” vm
process list | awk -F “\”,\”“ ‘,27h,’{system(“esxcli vm process kill —type=force —world-id=” $1)}
遍歷目錄,加密文件,如下所示:
加密文件的過程,如下所示:
生成的勒索提示信息文件,如下所示:
加密完成之后,生成加密完成提示信息,顯示一共有多少個文件被加密了,如下所示:
通過勒索病毒的代碼特征和行為特征,國外安全研究人員將這款勒索病毒歸因為Sodinokibi勒索病毒的家族,筆者在訪問這款勒索病毒解密網站的時候出現在問題,可能是這勒索病毒黑客組織正在維護解密網站服務器的后臺。
筆者之前發現DarkSide這款勒索病毒針對Linux平臺VMware ESXI的攻擊,最近一款新型的勒索病毒DarkRadiation也是專門針對各種Linux平臺進行攻擊,筆者后面會給大家進行詳細分析介紹,現在Sodinokibi勒索病毒也開始針對Linux平臺進行攻擊了,可以預測未來可能會有更多的勒索病毒黑客組織將目標轉向Linux平臺,擴大攻擊平臺的范圍,獲取更多的利益。
總結
勒索病毒黑客組織一直在更新,從來沒有停止過發起新的攻擊,尋找新的目標,未來幾年勒索攻擊仍然是全球最大的安全威脅,筆者總結出一些勒索攻擊發展的幾個趨勢,供大家參考:
(1)”雙重”、”三重”勒索模式逐漸變多,也許會有其他更多的模式出現。
(2)定向攻擊勒索,采用APT攻擊方式,為了利益最大化,會選擇性的攻擊行業“頭部”大企業。
(3)基于RAAS模式的新型勒索病毒組織會越來越多,同時核心運營團隊會逐步形成“小圈子”模式,降低風險,黑客團隊會向“精英化”團伙運營模式發展。
(4)通過各種不同的惡意軟件分發傳播勒索病毒的形式會越來越多。
(5)勒索攻擊針對的平臺會越來越多,未來針對Linux類系統的云計算平臺勒索攻擊會增多。
(6)勒索攻擊的支付方式可能會變化,除了BTC,黑客還會選擇各多其他虛擬貨幣或其他方式支付。
(7)勒索攻擊,企業數據是關鍵,竊取企業的數據,已經成了勒索攻擊一個環節。
來源:安全客