P2Pinfect僵尸网络部署勒索及挖矿软件

2024-08-20 18:25:27
我要分享


微信扫码分享

概述

近期，360安全大脑收到用户反馈称遭到了勒索软件攻击。但与通常的反馈不同的是，该用户反馈遭到勒索攻击的设备并非其用于办公或娱乐的电脑，而是家中的NAS设备。此类反馈的绝对数量虽然不多，但相较于几年前勒索软件野蛮扩张的时期，此类特殊设备或非常见系统遭到勒索软件攻击的反馈在全部反馈中的占比也有着较为明显的增加。

图1. 被加密的NAS设备

利用360云端大数据进行排查，我们最终将用户反馈的此次攻击的源头锁定到了一个名为P2Pinfect的僵尸网络上。该勒索软件正是P2Pinfect僵尸网络所释放的新型攻击载荷之一。

攻击说明

P2Pinfect的主体程序是一个网络蠕虫，具有网络入侵能力。其主要的入侵途径为Redis数据库，入侵成功后会利用Redis进一步执行更多功能命令。

图2. 入侵Redis 数据库

此外，如果Redis这条路“走不通”，蠕虫也会利用内置的弱口令库进行对更多常见程序进行弱口令暴力破解攻击，不断使用常见口令尝试登录各类常用网络服务，而一旦任何一个尝试成功，便可以进入对应设备中进行进一步操作。

图3. 其他弱口令暴力破解攻击

而无论通过何种途径，在入侵成功后蠕虫主体会通过添加登录密钥以及修改cron等方式实现长期驻留，并为后续的随时访问铺路。

完成准备工作后，其会释放两种攻击载荷。其一是一款挖矿程序，该程序相对比较常规，是通过开源代码编译的XMRig矿机。而根据360云端大数据关联到的相关矿机样本的版本为6.19.2，基本信息如下。

图4. 挖矿程序基本信息

不过在用户的设备中并未发现活跃的挖矿程序，这可能与NAS设备本身相对较弱的配置有关，利用此类设备挖矿的收益并不高。

另一个释放的样本，便是此次反馈用户所遭遇的勒索软件。勒索软件开始执行后，会首先检查位于系统临时目录下的/tmp/rsagen文件。该文件既是加密程序同时又是解密程序，勒索软件会要求用户保留该程序以及其生成的一个名为“[随即名称].lockedfiles”的数据库，并声称会在受害者支付赎金之后使用这两个文件配合来解密数据。

勒索软件本身的主体加密功能则相对较为常规，是非对称加密+对称加密的双重加密算法。即遍历目录后使用AES对称加密算法加密文件，再通过Salsa20非对称加密算法对AES的密钥进行加密。这样可以在兼顾加密效率的前提下，同时有效的保证加密力度，属于目前主流勒索软件的成熟加密方案。

最终，勒索软件会在设备中留下名为“Your data has been locked!.txt”的勒索信息文件。文件中会向受害者索要1个门罗币用于换取文件解密。根据本文撰写时的汇率，1门罗币约等于1107人民币。

图5. 勒索信息文件“Your data has been locked!.txt”

安全建议

无论是NAS设备还是Linux系统，都不可能免疫恶意软件的攻击。尤其NAS设备，近些年NAS设备的普及势头加上各个NAS厂商的安全水平参差不齐，最终导致针对NAS设备发动攻击的勒索软件及勒索事件数量均呈现出了非常明显的上升态势。

所以对于本轮勒索软件的攻击，360安全大脑建议广大用户对数据存储设备提高安全认识。及时更新NAS设备的系统及各类应用，尤其是安全更新和漏洞补丁。同时配置好设备的安全项，增加登录口令强度。并且尽可能减少非必要的网络服务来降低被入侵的概率。

此外，最重要的是做好重要数据的多重备份，不可仅将NAS设备作为唯一备份设备。非常重要的数据则建议尽可能离线备份，以此最大限度地降低安全风险。

热点排行

P2Pinfect僵尸网络部署勒索及挖矿软件

热点排行

关注我们