南韓網站代管公司,遭 Erebus 勒索病毒襲擊, 153 台 Linux 伺服器遭到感染

6 月 10 日,南韓網站代管公司 NAYANA 遭 Erebus 勒索病毒襲擊 (趨勢科技命名為:RANSOM_ELFEREBUS.A),共有 153 台 Linux 伺服器與 3,400 個該公司代管的商業網站遭到感染。

NAYANA 公司 6 月 12 日在官網發布了一則公告,表示駭客要求 550 比特幣 (BTC) 的天價贖金 (約合 162 萬美元) 以解開所有伺服器上被加密的檔案。6 月 14 日,NAYANA 又發布新的消息表示和歹徒討價還價之後同意支付 397.6 比特幣 (約合 101 萬美元:根據 2017 年 6 月 19 日匯率),並且約定分期付款。 6 月 17 日,NAYANA 的官網又發布一則聲明表示已經匯出第二期款項。到了 6 月 18 日,NAYANA 開始分批復原受害伺服器。但某些第二批復原的伺服器卻出現了資料庫錯誤的情況。預料在第一和第二批伺服器成功復原之後,該公司將再支付第三期贖金。

這不禁讓人聯想到當年美國堪薩斯醫院 (Kansas Hospital) 的受害案例 (儘管贖金無法相提並論)。不過堪薩斯醫院的情況更悲慘,因為該院在付了贖金之後還是沒有救回被加密的檔案,反而又再被勒索了一次。

Erebus 感染了 NAYANA 的 Linux 伺服器,並利用一個假的藍牙服務來讓自己就算系統重新開機也會再自動執行。此外,更利用了 UNIX 系統的 cron 工作排程工具來定期每小時檢查一次勒索病毒是否還在執行。 

Erebus 勒索病毒最早是在 2016 年 9 月經由惡意廣告感染,2017 年 2 月又再度現身,並且運用了一個可避開 Windows 使用者帳戶控制的伎倆,以下是有關 Linux 版本 Erebus 勒索病毒目前發現到的一些技術細節。

 Erebus 的勒索訊息有多國語言版本 (本圖為英文版本)。
圖 1:Erebus 的勒索訊息有多國語言版本 (本圖為英文版本)。

駭客示範如何解開被加密檔案的畫面。
圖 2:駭客示範如何解開被加密檔案的畫面。

 

可能的入侵途徑
這個 Linux 勒索病毒到底如何進入電腦系統?目前我們只能推測 Erebus 可能是利用系統的漏洞或是在本地端發動漏洞攻擊。例如,根據公開資訊顯示,NAYANA 公司的 網站使用的是 2.6.24.2 版的 Linux 核心,其製作時間為 2008 年。此版本已知有一些安全漏洞 (如:DIRTY COW) 可讓駭客取得系統管理員權限,更別說還有其他威脅。

此外,NAYANA 的網站採用的是 Apache 1.3.36 版與 PHP 5.1.4 版軟體,兩者都是 2006 年的版本。Apache 的漏洞PHP 漏洞攻擊早已廣為人知,事實上,中國地下市場上就大剌剌地販賣著一套專門攻擊 Apache Struts 漏洞的工具。還有,NAYANA 所用的 Apache 是以「nobody(uid=99)」這個使用者的身分執行,也就是說,歹徒也可能是使用本地端漏洞攻擊手法。

VirusTotal 所收到的 Erebus Linux 勒索病毒通報。
圖 3:VirusTotal 所收到的 Erebus Linux 勒索病毒通報。

值得注意的是,此勒索病毒的散布區域相當侷限,嚴格說來絕大多數都集中在南韓。雖然這或許意味著該勒索病毒攻擊是有計畫的針對性攻擊,但根據 VirusTotal 的資料顯示並非如此,因為烏克蘭和羅馬尼亞地區也出現了一些樣本。此外,從這些通報資料也可看出樣本是來自不同的資安研究人員。

加密程序
某些勒索病毒家族會將檔案重重加密,例如:UIWIX新的 Cerber 以及 DMA Locker。Erebus 的作法又更加複雜,每個被 Erebus 加密的檔案都採用以下格式:

標頭 (0x438 個位元組)
使用 RSA-2048 加密的原始檔名
使用 RSA-2048 加密的 AES 金鑰
使用 RSA-2048 加密的 RC4 金鑰
使用 RC4 加密的資料

首先,檔案會使用隨機產生的金鑰,並以 500KB 為區塊大小的 RC4 演算法加密。RC4 金鑰再用 AES 演算法加密之後儲存在檔案中。AES 金鑰則再用 RSA-2048 演算法加密之後,同樣也儲存在檔案中。

雖然每個被加密的檔案都有自己的 RC4 和 AES 金鑰,但其 RSA-2048 公開金鑰則是共用的。RSA-2048 公開金鑰會在本地端產生,但是私密金鑰卻會經由 AES 演算法搭配隨機產生的金鑰來加密。根據我們持續的分析顯示,除非拿到 RSA 金鑰,否則想要解開檔案根本絕無可能。

受害的檔案類型
Office 文件、資料庫、備份檔案、多媒體檔案等等,都是勒索病毒經常針對的檔案類型。該版本的 Erebus 也不例外,它可加密的檔案類型共 433 種。不過,此勒索病毒似乎是衝著網站伺服器及其資料而來。

下表顯示 Erebus 會搜尋的目錄與系統資料表空間 (TableSpace)。請注意,「var/www/」是網站檔案及資料存放的目錄,而「ibdata」則是 MySQL 用到的檔案:

包含的目錄: 排除的目錄:
var/www/ $/bin/
包含的檔案: $/boot/
ibdata0 $/dev/
ibdata1 $/etc/
ibdata2 $/lib/
ibdata3 $/lib64/
ibdata4 $/proc/
ibdata5 $/run/
ibdata6 $/sbin/
ibdata7 $/srv/
ibdata8 $/sys/
ibdata9 $/tmp/
ib_logfile0 $/usr/
ib_logfile1 $/var/
ib_logfile2 /.gem/
ib_logfile3 /.bundle/
ib_logfile4 /.nvm/
ib_logfile5 /.npm/

圖 4:Erebus 會搜尋的系統資料表空間 (TableSpace)。

落實最佳實務原則
儘管Unix 和類 Unix 作業系統 (如 Linux) 的市占率有限,但是當勒索病毒持續朝多元化發展且越來越成熟時,這些系統肯定將成為歹徒的搖錢樹之一。原因為何?因為這類系統在許多企業基礎架構當中相當普遍,經常用於工作站、伺服器、網站與應用程式開發架構、資料庫、行動裝置等等。

而且當勒索病毒能夠感染伺服器和網路共用資料夾時,其破壞力將更強,如我們在 WannaCry(想哭)勒索蠕蟲、SAMSAMPetyaHDDCryptor 等勒索病毒家族的案例所見。有時,網路上只要有一台電腦存在著漏洞,其他連網的系統和伺服器也可能連帶遭殃。

由於勒索病毒可能衝擊企業的營運、商譽及獲利能力,因此企業必須主動防範像勒索病毒這樣的威脅。然而要防範像 Erebus 這樣的勒索病毒並無單一方法,這也正是為何 IT 系統管理員必須採取縱深防禦的策略。以下是一些防範勒索病毒的最佳實務原則

  • 3-2-1 原則備份重要檔案
  • 停用或盡量減少第三方或未經確認的程式庫。
  • 採取最低授權的原則 (能不開放的權限就不開放)。
  • 確保伺服器和端點裝置隨時保持更新,或者部署虛擬修補技術
  • 常態性監控網路。
  • 檢查事件記錄檔內是否有遭到入侵或感染的跡象。

可考慮採用以下防護機制:

  • IP 過濾與入侵防護系統。
  • Linux 安全擴充功能,妥善管理檔案與系統/網路資源,並管制其存取。
  • 網路分割資料分類可限制及防止感染擴大,避免資料進一步損失。
  • 啟用 Linux 的權限分離功能。

我們將持續分析此 Linux 勒索病毒,一有最新消息就會在部落格上公布。

趨勢科技解決方案

趨勢科技Deep Security 可防範勒索病毒入侵企業的實體、虛擬、雲端或容器環境中的伺服器和工作負載。Deep Security 可藉由入侵防護 (IPS) 和主機防火牆來防範網路威脅,利用虛擬修補技術來防堵伺服器漏洞,直到軟體廠商釋出修補更新為止。Deep Security 的惡意程式防護和行為分析可防止各種惡意程式 (包括勒索病毒) 進入伺服器,即時中止各種惡意行為。Deep Security 同時還提供了系統層次的安全措施,包括可鎖定伺服器用途的應用程式控管,以及可偵測潛在入侵指標 (如勒索病毒) 的一致性監控。

趨勢科技的Deep Discovery Inspector客戶可透過以下 DDI 規則來防範這項威脅:

  • DDI Rule ID 3998 – “EREBUS – HTTP (Request)”

TippingPoint 客戶可利用下列 ThreatDV 過濾條件來防範這項威脅:

  • ThreatDV: 28725: HTTP: Erebus Ransomware Check-in

趨勢科技Deep Security 客戶可透過以下 DPI 規則來防範這項威脅:

  • 1008457 – Ransomware Erebus

入侵指標資料:

RANSOM_ELFEREBUS.A 的 SHA256 雜湊碼:

  • 0b7996bca486575be15e68dba7cbd802b1e5f90436ba23f802da66292c8a055f
  • d889734783273b7158deeae6cf804a6be99c3a5353d94225a4dbe92caf3a3d48

原文出處:Erebus Resurfaces as Linux Ransomware 作者:Ziv ChangGilbert Sison Jeanne Jocson