F5研究人员注意到,这次的恶意程序文件名和先前的攻击都是一样的,如图10和图11所示的”.mailer”和”a”。不过这次攻击所用的加密币挖矿池和账户变了,如图12所示。
图10.ShellShock 传递“.mail”的PERL bot
图11.ShellShock传递“a”的头部bash脚本
图12.矿机配置
扩展到服务器勒索软件一般来说利用web漏洞传播Linux DDoS恶意程序是很常见的事,值得一提的是,针对服务器的勒索软件从去年开始似乎成为了一种新趋势。
这次的幕后攻击者实际上有好几个不同的攻击行为。这次,感染Windows设备的payload用上了著名的Cerber勒索程序。
这位攻击者惯用Jakarta Multipart parser exploit的方式。不过这次是以Shell命令执行Windows BITSAdmin和ftp命令行工具,下载运行文件”1.exe”,如图13所示。
图13.APACHE STRUTS漏洞传递Windows勒索软件
运行勒索程序之后,程序当然就会对文件进行加密,还会显示图14中的勒索信息。
图14.勒索信息
同市面上多数勒索软件一样,受害者会收到解锁文件的教程,如图所示。
图15.勒索支付指示
F5的研究人员分析了该恶意程序变体,发现增加了一个功能,即修改Windows防火墙规则,阻止反病毒软件与外界的通讯——也就是不让反病毒软件更新和提交报告。如图16所示:
图16.勒索软件阻碍Windows防火墙
为了找到目标设备上已安装的安全软件,恶意程序首先会运行WMI查询”AntiSpywareProduct”和”FirewallProduct”类。
图17.WMI查询获取安装安全产品列表
随后恶意程序就会将所有查询结果涉及的文件和文件夹加到防火墙规则中。
图18.添加防火墙规则
攻击者这么拿钱这一波几个不同的攻击行动,其幕后攻击者都用同一个比特币ID。
图19.软件配置中的比特币账户
这个账户中有84比特币,大约相当于8.6万美元。而在Struts漏洞公开以后,该比特币账户又有2.2比特币的进出,大约是2300美元。
图20.恶意软件账户上的比特币交易
最后现在的黑客牛叉的地方就在于,一旦有0day漏洞曝出,其现有攻击方式就能够以极快的速度得到进化。所以即便防御方不停地在修复漏洞,其攻击还是可以持续进行。