勒索病毒“Satan”作为2018年最为活跃的勒索病毒之一,近日国内出现了其最新变种感染案例。该病毒不但可以在Windows和Linux下感染执行,而且还能利用多个应用漏洞进行传播。被加密的文件后缀名从起初的.satan更新为.lucky。目前***的C&C服务器仍然存活,不排除有大面积感染的可能。

勒索病毒核心Web应用漏洞如下:

  • Tomcat任意文件上传漏洞(CVE-2017-12615)

  • Tomcat web管理后台弱口令爆破

  • Weblogic WLS 组件漏洞(CVE-2017-10271)

  • Apache Struts2远程代码执行漏洞S2-045

  • Apache Struts2远程代码执行漏洞S2-057

  • Weblogic任意文件上传漏洞(CVE-2018-2894)


我们通过ZoomEye统计全国可能影响设备IP约137,850个。WebSOC网站立体监控系统最新4.6.38.0版本,可准确识别此病毒高危Web应用漏洞,请相关用户引起关注,及时做好设备检查和防护措施。

升级下载

1.离线升级包下载(系统管理-关于-获取证书编号登录):http://update.knownsec.com。

2.在线自动升级:系统管理-版本升级-升级策略-开启自动升级。

临时防护建议

  • 定期对重要数据进行备份。

  • 检查crontab和rc.local文件,删除该病毒相关的启动信息。

  • 检查/etc/rc6.d/S20loop文件指向的位置,删除该目录下相关的样本程序文件,包括.loop,.conn32/64,.cry32/64,最后删除/etc/rc6.d/S20loop文件。

  • 为操作系统和相关应用设置复杂的登录口令。

  • 及时更新相关应用的版本,或安装安全补丁来修复应用漏洞。

禁用Tomcat Web登录

由于该病毒会通过Tomcat爆破的方式进行传播,因此建议用户直接登录服务器进行应用部署,禁用Web管理页面的登录功能。

在Tomcat配置文件中,删除类似如下的配置项,即可禁用Web端登录:

IOC

  • C&C

    111.90.158.225
    111.90.158.225/d/ft32
    107.179.65.195/d/ft32
    23.247.83.135/d/ft32
    111.90.158.224/d/ft32

  • Hash

    34CDBBDA5F7C02CA179A366232ADBB96

    84DDEE0187C61D8EB4348E939DA5A366

    36E34E763A527F3AD43E9C30ACD276FF

    D1AC4B74EE538DAB998085E0DFAA5E8D

    A8CAB7C48D687B510FB8EAF053BD5722

    7FCD8A6C72C06D1892132D5E1D793B4B

    8D3C8045DF750419911C6E1BF493C747

    E145264CFFA3C01A93871B27A4F569CC

    3D659FC3561E94051998D11381A00BBD

    226B25F47DD6C62077CF52AEB5A759E7

    161090CAC8C73B249E8B9A939AB4B665