Satan勒索軟件出現(xiàn)新變種,未來可能出現(xiàn)更多攻擊

Satan勒索軟件出現(xiàn)新變種，利用了更多新漏洞，并且采用了RaaS（勒索軟件即服務(wù)），未來可能出現(xiàn)更多攻擊。

據(jù)外媒報道，F(xiàn)ortiGuard實(shí)驗(yàn)室最近發(fā)現(xiàn)了Satan勒索軟件的一個新變種，利用更多的漏洞感染機(jī)器。

Satan勒索軟件首次出現(xiàn)于2017年1月，使用了RSA-2048和AES-256加密，加密文件擴(kuò)展名為“.stn”。

Satan勒索軟件的目標(biāo)是Linux和Windows機(jī)器，它試圖利用大量的漏洞，通過公共和外部網(wǎng)絡(luò)傳播。勒索軟件最初通過私有網(wǎng)絡(luò)和公共網(wǎng)絡(luò)進(jìn)行傳播，仍然利用美國國家安全局的永恒之藍(lán)進(jìn)行攻擊。

最初的傳播者是Windows上的conn.exe和Linux上的conn32/64，能夠通過私有和公共網(wǎng)絡(luò)傳播。在之前的攻擊中，Linux組件（conn32/64）只通過非A類私有網(wǎng)絡(luò)傳播。然而，它最近得到了更新，支持在私有和公共網(wǎng)絡(luò)傳播。

Satan勒索軟件利用了許多已知的漏洞，其中包括JBoss默認(rèn)配置漏洞（CVE-2010-0738）、Tomcat任意文件上傳漏洞（CVE-2017-12615）、WebLogic任意文件上傳漏洞（CVE-2018-2894）、WebLogic WLS組件漏洞（CVE-2017-10271）、Windows SMB遠(yuǎn)程代碼執(zhí)行漏洞（MS17-010）和Spring Data Commons遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-1273）。

專家最近觀察到的針對Windows和Linux的變種還包括了幾個web應(yīng)用程序遠(yuǎn)程代碼執(zhí)行漏洞：

Spring Data REST補(bǔ)丁請求（CVE-2017-8046）

ElasticSearch（CVE-2015-1427）

ThinkPHP 5.X遠(yuǎn)程執(zhí)行代碼（無CVE）

攻擊實(shí)現(xiàn)方式是執(zhí)行IP地址遍歷，并在遇到的每個IP地址上掃描并執(zhí)行整個漏洞列表，以及相應(yīng)的硬編碼端口列表。為了提高效率，它還實(shí)現(xiàn)了多線程，為每個目標(biāo)IP和端口的傳播嘗試生成單獨(dú)的線程。

可能是出于統(tǒng)計目的，Satan勒索軟件會掃描Drupal、XML-RPC、Adobe等應(yīng)用程序，并在應(yīng)用程序存在時通知服務(wù)器。

Fortinet總結(jié)道，Satan勒索軟件正在變得越來越激進(jìn)，并且已經(jīng)采用了RaaS（勒索軟件即服務(wù)），更多黑客將可以使用，這意味著會有更多的攻擊。